다국적 언어를 지원하도록 제작된 허위 백신

2010년 2월 2일을 즈음하여 인터넷 포털 사이트를 통해 사용하는 시스템이 허위 백신에 감염되었으며 해당 허위 백신이 한국어로 제작되어 있다는 문의가 게시되었다.

ASEC에서는 해당 허위 백신의 설치 파일을 확보하여 어떠한 형태이며 한국어로 어떻게 표기되는지 자세한 분석을 진행하였다.

해당 허위 백신이 시스템에서 실행이 되면 아래 이미지와 같이 마이크로소프트(Microsoft)의 보안 패치를 위해 실행되는 윈도우 업데이트(Windows Update)와 유사한 창이 생성되며 XP 인터넷 시큐리티(Internet Security)를 설치 중이라는 메시지를 보여주게 된다.

그리고 다음 경로의 폴더에 av.exe(344,064 바이트) 라는 파일명으로 자신의 복사본을 생성하게 된다.

C:\Documents and Settings\사용자 계정명\Local Settings\Application Data\av.exe

이 외에 윈도우 시스템이 재부팅 되더라도 해당 허위 백신이 실행 되도록 윈도우 레지스트리의 다양한 자동 실행 부분에 자신을 등록 시킨다.

복사본 생성이 완료되면 아래 이미지와 같은 창을 생성하여 사용자의 동의와 상관없이 시스템 전체를 검사하여 정상적인 파일들을 악성코드로 진단하고 있다. 그리고 검사와 함께 사용하는 시스템이 심각한 악성코드들에 감염된 것으로 사용자에게 허위 정보를 제공한다.

이와 동시에 윈도우 시스템 트레이(System Tray)에도 스파이웨어(Spyware)에 감염되어 신용카드 정보 등의 중요한 개인 정보들이 외부로 유출 될 수 있다는 허위 정보를 지속적으로 보여주고 있다.

그리고 마지막으로 시스템에 감염되었다는 악성코드들을 치료하기 위해서는 온라인을 통해 정상적인 결제하여 정상 사용 등록을 하도록 유도하고 있다.

해당 허위 백신의 설정을 살펴보면 한국어만을 지원하기 위해서 제작된 것은 아니며 영어와 일본어를 포함하여 다양한 언어들을 지원하기 위해 제작되어 있다. 이는 해당 허위 백신 제작자는 감염된 시스템의 언어를 확인하여 해당 시스템의 사용자에게 가장 친숙한 언어를 보여주기 위한 것으로 보여진다.

그리고 해당 허위 백신에 감염된 시스템에서 인터넷 익스플로러(Internet Explorer)를 실행시키자 해당 허위 백신에서 인터넷 익스플로러가 온라인 뱅킹 정보를 유출할 수 있는 트로이목마에 감염되었다라는 허위 메시지를 보여 주며 빨리 해당 허위 백신을 온라인 결제하라는 요구를 하게 된다.

해당 허위 백신은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Fakeav.344064

이번에 한국어를 지원하는 것으로 알려진 허위 백신은 심각한 악성코드들에 시스템이 감염되어 중요 개인 정보들이 유출될 수 있다라는 심각한 정보를 허위로 제공하여 온라인 결제를 유도하는 형태이다. 이렇게 허위 백신에서 한국어를 지원하는 것은 한국인에게 친숙한 한국어를 사용하여 허위 정보의 전달이 정확하게 하려는 제작자의 의도로 보여진다.

이는 결국 심각한 상황을 연출하여 사용자의 금전적 피해를 입히기 위한 고도의 사회 공학 기법으로 볼 수 있으며 향후에도 이와 유사하게 한국어를 사용하는 타켓 공격(Targeted Attack) 등이 발생 할 수 있음으로 많은 주의가 필요하다.