아이슬란드(Iceland) 화산 폭발을 이용한 해외 가짜 백신 유포 주의

최근 아이슬란드(Iceland)에서 발생한 화산 폭발과 관련된 사회적 이슈를 이용하여 인터넷 검색 사이트에서 검색시 악의적으로 변조된 사이트에 접근할 경우 해외 가짜 백신(Rogue AV)이 설치되는 BlackHat SEO 유포 방식이 확인되었습니다.

• <동아일보> 아이슬란드 화산폭발 전지구적 피해 가능성 (2010.3.23)

그림과 같이 구글(Google) 검색에서 [Iceland Volcano 2010] 검색어를 이용할 경우 첫 번째 검색 페이지에서 쉽게 악성 링크를 발견할 수 있습니다.

현재 이용되는 악성 링크 패턴은 [(정상 도메인)/xvdzo.php?p=(변수)]와 같은 방식으로 구성되어 있으며 사용자가 접속시마다 다양한 스캐너(Scanner) 검사 화면을 제시하여 마치 사용자 시스템이 감염된 것처럼 허위 정보를 제시하고 있습니다.

특히 해당 검사 페이지의 파비콘(Favicon)은 구글(Google)에서 제공하는 보안 검사처럼 위장하고 있으므로 일반 사용자는 오해할 수 있습니다.

참고로 구글 검색을 통해 접근시 Microsoft Security Essentials 보안 제품에서는 TrojanDownloader:HTML/Renos 진단명으로 사전에 차단하여 실제 악성 페이지의 동작을 차단하고 있는 것을 확인할 수 있었습니다.

최종적으로 사용자에게 가짜 백신을 설치하기 위해서 packupdate_build7_195.exe 파일(MD5 : 5f1cad99180b5bb8cc97409b70ec20d5)을 다운로드를 시도하며, 해당 파일을 실행할 경우 CleanUp Antivirus 프로그램을 설치하는 것을 확인할 수 있었습니다.

해당 파일에 대해서는 TrendMicro 보안 제품에서 TROJ_BURNIX.SMF (VirusTotal : 7/41) 진단명으로 진단을 하고 있습니다.

위와 같이 해외 가짜 백신 유포 방식 중 가장 활발하게 이루어지고 있는 사회적 이슈를 기반으로 한 유포 행위는 쉽게 접할 수 있으므로 문제의 사이트에 접속하였을 경우에는 절대로 다운로드되는 파일을 실행하는 일이 없도록 주의하시기 바랍니다.