본문 바로가기

악성코드 정보

Andre Pitre 키워드 검색 시 주의!


Andre Pitre는 미국 Actor 입니다. 그가 갑자기 검색 키워드 상위에 랭크가 된 이유를 아시나요??

바로 그가 데뷔로 발표한 'Your Name' 이라는 노래 때문이라네요

그의 노래를 감상하실 분들은 아래 링크를 눌러주세요~~^^


Andre Pitre -Your Name


역시나 이 기회를 악성코드 유포자는 놓치지를 않았군요 ^^

아래 Andre Pitre 키워드로 검색한 결과 중 악성코드 유포페이지로 연결되는 검색 결과가 발견되었습니다. 이런 패턴을 너무 많이 봐서 이제는 진부할 법도 하지만 한번 살펴보도록 하겠습니다.



<Fig 1. Andre Pitre 검색 결과 중 악성코드 유포 페이지로 연결되는 검색 결과>


언제나 그랫듯 재활용에 재활용을 거듭하는 플래쉬 이미지와 경고 팝업창을 띄우면서 사용자의 시스템이 악성코드에 감염되었다고 허위로 보고를 하고 있습니다.



<Fig 2. 허위 경고창>



<Fig 3. 허위 경고 플래쉬>


다운로드 되는 파일의 이름은 역시나 재활용의 재활용을 거듭하여 끝에 숫자만 약간 바꿔서 'pcakupdate_build8_195.exe'라고 명명되어 있네요.


<Fig 4. FakeAV 설치 파일 이미지>


해당 파일 역시 FakeAV 설치 파일이며 이 글들을 보고 계신 구독자라면 최근 FakeAV가 SEO poisoning Attack으로 많이 전파되고 있다는 것을 아시겠죠? ^^


FakeAV 설치파일은 아래 진단명으로 V3에서 진단/삭제가 가능합니다. 따라서 V3의 실시간 감시를 켜 두시면 파일을 다운로드하더라도 진단이 되시니 안심하셔도 되겠습니다.

Win-Trojan/Fakeav.320512


SEO Poisoning Attack을 예방하기 위해서는 사이트 가드(Site Guard)와 같은 웹브라우저 보안 제품을 설치하여 사전에 예방할 것을 권해 드립니다.











  • 풀립 2010.03.24 21:34 댓글주소 수정/삭제 댓글쓰기

    "SEO Poisoning Attack을 예방하기 위해서는 사이트 가드(Site Guard)와 같은 웹브라우저 보안 제품을 설치하여 사전에 예방할 것을 권해 드립니다."

    지금 스샷에 보여지는 부분은 안전 검색 부분인 데 사이트가드는 허위백신을 유포 하고 있는 URL주소 접속 시 (사이트 자체는 악성 스크립트 감염에 의한 악성코드 배포등의 악의적인 행위를 하지 않기 떄문에 - 단순히 첨부 파일에 의한 허위 백신을 유포 중이라고 해서) 차단 되는 것은 아닌데 스샷 인용이 잘 못된 것은 아닌가 생각합니다. 오히려 해당 URL에 접속 하여 사용자가 파일을 내려 받을 때 안전 다운로더에서 V3 DB을 기준으로 검사 한 후 위험하다는 모습을 캡쳐 하는게 나을 것으로 보입니다.

    스샷을 보니 안전 검색 아이콘이 정사각형인걸 보니 안철수연구소를 대표 하는 블로그가 최근 미국에서 장례식을 치른 IE6을 사용 하는 것으로 보이며 귀왕이면 안전검색 아이콘의 모서리가 약간 둥그스럼한 모습을 보이는 최신 버젼을 사용 할 것을 요청 합니다. ㅎ

    개인적으로는 사이트가드 1.0일 때가 악성 스크립트에 감염된 사이트를 더 잘 찾는 듯 보이며 하지만 이 떄 브라우저 접속이 느려 지는 건 어쩔 수 없기에 2.0으로 업데이트 되면서 휴리스틱이니 뭐니 해도 1.0때 보다 감지 능력이 좀 떨어지는 듯 하며 그 동안 많은 사람들이 지적 하며 사용을 꺼렸던 사용 편리성(브라우저 접속 로딩 향상)에 주안을 두지 않았나 합니다. 두 마리 토끼를 다 잡으려고 하면 다리가 찢어 지겠죠?

    보안에 민감한 사람들을 위해서 휴리스틱 강도를 조절 할 수 있는 메뉴를 신설 해 주면 좋겠고 또한 사이트가드에 의해서 감지되거나 의심스러운 파일 안철수연구소로 전송 할 때, 악성코드를 발견한 즉시 로그에 기록 되면 좋겠네요. 참고적으로 노턴 IS 2010의 세이프웹에서는 의심스러운 파일을 시만텍으로 전송 시 어떤 파일이 전송 되었는 지 로그에 기록 됩니다..;;

    • 반갑습니다 ^^
      일단 댓글 길이를 보고... ^^
      사이트가드 이미지는 이전에 사용하던 이미지를 재활용한 것은 제 게으름의 불찰입니다. ^^ 이미지는 차단되는 이미지로 다시 캡쳐하여 올려두었습니다. 말씀하신 것 중에 URL 접속 시 차단되는 것은 아니라고 하셨는데 악성 URL 접속 시 본문 마지막 그림처럼 차단이 됩니다. 다운로드할 때도 위험한 파일이면 V3 진단명을 명시해 주죠 ^^

      해당 PC에서 IE6를 사용하는 건 나름대로의 이유가 있기 때문이랍니다. ^^ 제 개인적인 PC나 업무를 볼 때는 불여시를 애용하고 있습니다. ^^

      댓글은 댓글일 뿐 말이 길어지고 있네요~~ 그 외 좋은 의견들 감사합니다.

      다음 번엔 추천을 꾸~~~욱 눌러주고 가시와요~~^^