허위 어도비 플래쉬 플레이어 업데이트로 위장한 악성코드

2010년 8월 11일 오전 해외에서 허위로 만들어진 어도비(Adobe) 플래쉬 플레이어(Flash Player) 업데이트 웹 사이트를 통해 악성코드를 유포하고 있는 것이 발견되었다.

이번에 발견된 허위 어도비 플래쉬 플레이어 업데이트 웹 사이트는 어제 어도비사에 취약점 제거를 위해 보안 패치를 배포한 것과 유사한 시기에 발견된 형태라 주의가 필요하다.

허위 어도비 플래쉬 플레이어 업데이트 웹 사이트는 아래 이미지와 같이 실제 어도비에서 운영하는 업데이트 웹 사이트와 유사하게 제작되어 있어 일반 사용자의 입장에서는 허위 사실 여부를 파악하기 어렵다는 점을 특이 사항으로 볼 수 있다.

해당 허위 웹 사이트에서는 위 이미지의 붉은 색 박스에서를 클릭하게 되면 아래 이미지와 같이 install_flash_player.exe (25,088 바이트) 파일을 다운로드 하게 된다.

다운로드 한 파일은 악성코드로서 해당 파일이 실행되면 정상 svchost.exe 파일의 메모리 영역에 자신의 코드를 삽입하여 허위 백신을 설치하는 다른 악성코드 변형들을 다운로드 하는 기능 등을 수행하게 된다.

이에 발견된 허위 어도비 플래쉬 플레이어 업데이트 웹 사이트에서 유포한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Injector.25088.K

이러한 허위 웹 사이트를 통해 악성코드가 유포되는 사례가 있음으로 소프트웨어 업데이트의 경우에는 해당 제품을 통해 직접 업데이트를 진행하고 웹 브라우저를 통해 업데이트를 진행할 경우에는 웹 사이트 주소를 미리 확인하여 실제 해당 업체에서 운영하는 웹 사이트인지 미리 확인 해보는 것이 중요하다.

그리고 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저 또는 웹 사이트 링크를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.