폴란드 대통령 탑승 비행기 추락 사고를 이용한 해외 가짜 백신 유포 주의 (2010.4.11)

폴란드 대통령이 탑승한 비행기가 러시아에서 추락하여 탑승객 전원이 사망하는 사고를 이용한 BlackHat SEO 방식의 해외 가짜 백신(Fake AV) 유포가 활발하게 이루어지고 있으므로 주의하시기 바랍니다.

• <헤럴드 경제> 폴란드 대통령 탑승기 추락 사망…탑승객 96명 전원 사망 (2010.4.11)

현재 구글(Google) 검색을 이용하여 [Polish Plane Crash]로 검색을 할 경우, 검색 상위에 대규모 가짜 백신 검사 사이트로 납치를 하는 검색어가 등록되어 있는 것을 확인할 수 있습니다.

[가짜 백신 유포 악성 링크 패턴]

(일반 도메인).com/rmpqh.php?(변수)
(일반 도메인).no/lvlne.php?(변수)
(일반 도메인).at/tyuxu.php?(변수)
(일반 도메인).net/voqdb.php?(변수)

해당 스캐너(Scanner) 사이트에서는 사용자 시스템에서 악성코드가 발견되었다는 허위 정보를 출력하여 사이트에서 제공하는 가짜 백신을 다운로드하도록 유도를 하고 있습니다.

packupdate_build7_195.exe (MD5 : c70c72c3819b9b3af451fb377ca7a20a)

현재 Internet Explorer 8에서는 SmartScreen 필터 기능을 통하여 해당 유포 도메인에 대해서는 안전하지 않은 다운로드를 알리는 보안 경고창이 생성되는 것을 확인할 수 있습니다.

다운로드된 가짜 백신은 [CleanUp Antivirus]라는 이름으로 설치가 되고 있으며, Microsoft 보안 제품에서 TrojanDownloader:Win32/FakeVimes (VirSCAN.org : 7/36) 진단명으로 진단을 하고 있습니다.

해당 악성코드는 사용자 키워드 감시를 통한 개인정보 유출 및 정상적인 시스템 방해 동작 등이 있으므로 설치하지 않도록 주의하시기 바랍니다.