본문 바로가기
악성코드 정보

Stuxnet 웜을 주제로 이용해 허위 백신 유포

by 알 수 없는 사용자 2011. 10. 27.

2010년 7월 14일 마이크로소프트(Microsoft) 윈도우(Windows) 운영체제의 제로 데이(Zero-Day, 0-Day) 취약점이었던 "MS10-046 Windows 셸의 취약점으로 인한 원격 코드 실행 문제점(2286198)"을 악용하고 SCADA(Supervisory Control And Data Acquisition) 시스템을 감염하기 위해 제작된 Stuxnet 웜(Worm)을 주제로 해 허위 백신이 유포된 것이 2010년 10월 1일 오전 해외 보안 업체들을 통해 알려졌다.

번에 유포된 허위 백신들은 블랙햇 SEO(BlackHat Search Engine Optimization)이라는 기법을 이용하여 유포되었다. 해당 기법은 구글(Google) 검색 엔진의 검색 결과에서 악의적인 웹 사이트(Web Site)들의 상위에 나타나도록 조작하는 것을 이야기 한다.

러한  블랙햇 SEO 기법을 악용하여 유포되었던 악성코드 사례로는 2010년 3월 김연아 선수의 동계 올림픽 금메달 수상을 주제로한 사례, 2010년 4월 해외 보안 업체인 맥아피(McAfee)의 오진 사고를 주제로한 사례 그리고 2010년 5월 팩맨(Pac Man) 게임의 탄생 30주년을 주제로한 사례들이 존재한다.

SCADA 시스템을 감염시키기 위해 제작된 것으로 알려지게 된 Stuxnet 웜을 주제로 하여 블랙햇 SEO 기법으로 유포한 허위 백신은 아래 이미지와 같이 유튜브(YouTube) 웹 페이지로 위장하여 Stuxnet 웜 관련 동영상을 보기 위해서는 코덱(Codec)을 설치 하도록 유도하고 있다.



다운로드하여 설치하도록 유도하는 코덱이라는 파일은
install 48728.exe(60,416 바이트) 파일명을 가지고 있으나 해당 파일은 허위 백신을 설치하기 위한 악성코드이다.


이번 Stuxnet 웜을 주제로 하여 블랙햇 SEO 기법을 악용하여 유포를 시도하였던 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Dropper/Malware.60416.U

Win-Trojan/Fakeav.165376

다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.


1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

댓글