해외에서 제작된 허위 백신들은 다양한 경로로 유포를 시도하고 있다. 여러 유포 경로 중에서는 검색 엔진의 결과를 조작하는 블랙햇 SEO(BlackHat Search Engine Optimization) 기법을 포함하여 유튜브(Youtube)의 동영상 웹 페이지로 위장하여 유포하는 사례까지 다양하다.
그 중에서도 가장 전통적이며 오랜된 방법으로는 사회 공학(Social Engineering) 기법을 이용해 이메일의 첨부 파일로 유포하는 방법을 들 수가 있다.
최근 지속적으로 발견되고 있는 사진 파일을 첨부한 메일로 위장해 유포를 시도한 허위 백신 역시 이러한 사회 공학 기법을 악용하여 2월 중순 처음 발견되어 현재까지 이어지고 있다.
사진 파일 첨부 메일로 위장한 허위 백신은 다음과 같은 메일 형태로 유포 되고 있다.
* 메일 제목
nake pics as you've requested
* 메일 본문
Take a look at my naked pics I am attching and let me know what you think about my body.
Especially my tight ass.
* 첨부 파일
pics.scr, mypicture.scr, mypic.scr, sexypic.scr, picofme.zip, picturenaked.zip, sexypic.scr
위와 같은 메일 형태로 유포되었던 허위 백신은 메일 제목과 메일 본문은 2월 중순 최초 유포시부터 현재까지 동일하게 사용되지만 첨부 파일만은 다른 변형들로 지속적으로 파일명을 변경하여 유포되었다.
첨부된 허위 백신이 실행 되면 먼저 자신이 실행된 윈도우(Windows) 운영체제가 가상화 시스템인지를 확인하여 가상화 시스템일 경우에는 실행을 중단하게 된다.
그리고 감염된 시스템이 실제 하드웨어에 설치된 윈도우 운영체제로 확인 되면 감염된 시스템에 존재하는 폴더들을 순차적으로 검색하여 다수의 폴더들에 자신의 복사본 다수를 서로 다른 파일명으로 생성하여 수동으로 삭제하기 어렵도록 하고 있다.
허위 백신이 실행되면 아래 이미지에서와 같이 기존에 발견되었던 다른 허위 백신들과 유사하게 허위 진단 결과를 보여주게 된다.
그리고 해당 허위 백신이 실행 중에 다른 일반 프로그램들을 실행 할 경우에는 아래 이미지와 같이 보안적인 문제로 해당 프로그램을 강제 종료하였다는 메시지를 보여주며 시스템의 정상적인 사용을 어렵게 만든다.
검사가 종료되면 허위로 진단 된 결과를 치료하기 위해서는 정상적인 소프트웨어 사용을 위한 라이센스 키 입력을 할 것을 요구 하게 된다.
라이센스 키 입력을 위해 "Get License"를 클릭하게 되면 아래 이미지와 같이 다른 허위 백신들이 보여준 것과 동일하게 금전적인 비용을 요구 하게 된다.
이 번에 발견된 허위 백신은 검사가 진행되는 모습, 허위 진단 결과 그리고 금전적인 비용을 요구하는 과정은 동일하다.
그리고 해당 허위 백신이 실행 중에 다른 일반 프로그램들을 실행 할 경우에는 아래 이미지와 같이 보안적인 문제로 해당 프로그램을 강제 종료하였다는 메시지를 보여주며 시스템의 정상적인 사용을 어렵게 만든다.
검사가 종료되면 허위로 진단 된 결과를 치료하기 위해서는 정상적인 소프트웨어 사용을 위한 라이센스 키 입력을 할 것을 요구 하게 된다.
라이센스 키 입력을 위해 "Get License"를 클릭하게 되면 아래 이미지와 같이 다른 허위 백신들이 보여준 것과 동일하게 금전적인 비용을 요구 하게 된다.
이 번에 발견된 허위 백신은 검사가 진행되는 모습, 허위 진단 결과 그리고 금전적인 비용을 요구하는 과정은 동일하다.
그러나 감염된 시스템에 존재하는 폴더들에 자신의 복사본을 다수 생성하는 것과 허위 백신의 메시지를 무시하고 시스템을 재부팅하게 될 경우, 기존에 발견되었던 랜섬웨어(Ransomware)와 같이 메시지 창을 생성하여 시스템의 정상적인 사용을 방해하는 다른 특징들이 존재한다.
지속적으로 발견되고 있는 사진 파일이 첨부된 메일로 위장한 허위 백신은 V3 제품군에서 다음과 같이 진단하고 있다. 그러나 변형들이 지속적으로 발견되고 있음으로 주의가 필요하다.
Win-Trojan/Momibot.62088
Win-Trojan/Fakerean.137216
Win-Trojan/Fakerean.148992
Win-Trojan/Momibot.57464
Win-Trojan/Momibot.103424
Win-Trojan/Momibot.60552
Win-Trojan/Momibot.62096
Win-Trojan/Momibot.75264
Win-Trojan/Momibot.57512
Win-Trojan/Zbot.67072.Q
Win-Trojan/Pcclient.53760.B
Win-Trojan/Fakeav.66560
Win-Trojan/Fakeav.59392
Win-Trojan/Fakeav.137216
Win-Trojan/Fakeav.134656
Win-Trojan/Fakeav.55936
Win-Trojan/Fakeav.149504
Win-Trojan/Fakeav.134144
이러한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 사전에 주의를 하는 것이 중요하다.
1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.
2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.
3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.
4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.
5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.
6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.
'악성코드 정보' 카테고리의 다른 글
| 한국어로 표기된 허위 윈도우 라이센스 랜섬웨어 발견 (0) | 2011.10.27 |
|---|---|
| UPS 운송 메일로 위장한 허위 백신 설치 악성코드 (0) | 2011.10.27 |
| 일본 쓰나미와 대지진을 악용한 보안 위협들의 생산 (0) | 2011.10.27 |
| 라우터 장비를 DoS 공격하는 악성코드 (0) | 2011.10.27 |
| 한국어로 표기된 사이버 범죄 경고 랜섬웨어 유포 (0) | 2011.10.27 |
댓글