반응형
최근 악성 URL 주소를 포함한 이메일을 통하여 해외 가짜 백신 Security Shield가 국내에 유포되고 있다는 소식입니다.
대략적인 유포 경로는 특정 org 도메인 주소로 위장한 링크가 포함된 이메일을 통해 사용자가 링크를 클릭할 경우, 루마니아에 등록된 IP 주소로 납치되어 허위 스캔 화면을 제시하여 악성 파일을 다운로드하도록 유도하고 있습니다.
실제 이메일에서 제시되는 URL 링크를 클릭할 경우 그림과 같은 사용자 컴퓨터에서 의심스러운 프로그램이 발견되었다는 웹 페이지 메시지가 노출되어 확인 버튼을 클릭하도록 구성되어 있습니다.
참고로 해당 웹 메시지가 노출되어 허위 스캔 화면으로 연결되는 과정에서 알약(ALYac) 2.0 Sophos 엔진에서는 Mal/FakeAvJs-A 진단명으로 차단을 하는 것을 확인할 수 있습니다.
해당 허위 스캔 화면은 사용자 OS, 웹 브라우저 환경에 따라 다르게 표시가 될 수 있으며, 테스트에서는 Windows 7, Internet Explorer 9 환경에서 제시되는 모습입니다.
허위 검사를 통해 사용자 PC가 감염된 것으로 표시하여 Windows Security Alert 화면을 제시하여 진단된 항목에 대한 제거를 위해서는 Remove all 버튼을 클릭하도록 유도하고 있습니다.
참고로 사용자가 다운로드를 하지 않고 웹 브라우저를 닫으려고 할 경우 웹 페이지 메시지를 통해 감염으로 인한 데이터 손실이 발생할 수 있다며 경고를 하는 메시지를 확인할 수 있습니다.
- MD5 : 1a8eee46c22292d5b1c6ae839873949b
- MD5 : 416752054b764ef31f0ce335a042cb1a
- MD5 : e043830c2b8b783602d74fd9fbc3aee2
- MD5 : fb6e031060f69e69dd6d0c185288262f
- MD5 : a5d3548927a3901c572f8a8f3280f1d0
해당 악성 파일을 사용자가 실행할 경우 자동으로 설치가 이루어진 후 Security Shield 프로그램이 설치되었다는 메시지가 노출됩니다.
[생성 폴더 / 파일 등록 및 진단 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\pebhm.exe
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Security Shield.lnk
※ pebhm.exe 파일은 Random 영문 실행 파일로 5~7자리 영문으로 구성될 것으로 추정됩니다.(구분 방법은 실행 파일의 아이콘 모양과 동일)
※ pebhm.exe (MD5 : 1a8eee46c22292d5b1c6ae839873949b)
- Sophos : Mal/FakeAV-KL (VirusTotal : 5/42)
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\pebhm.exe
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Security Shield.lnk
※ pebhm.exe 파일은 Random 영문 실행 파일로 5~7자리 영문으로 구성될 것으로 추정됩니다.(구분 방법은 실행 파일의 아이콘 모양과 동일)
※ pebhm.exe (MD5 : 1a8eee46c22292d5b1c6ae839873949b)
- Sophos : Mal/FakeAV-KL (VirusTotal : 5/42)
Security Shield 프로그램은 자동으로 실행되어 사용자 PC를 검사하는 동작을 통해 다수의 악성코드에 감염된 것처럼 허위 진단을 합니다.
진단된 항목에 대하여 경고창과 함께 위험요소를 제거하기 위해 버튼을 클릭할 경우 Security Shield 프로그램 활성화를 유도합니다.
최종적으로 그림과 같은 Security Shield 프로그램 결제창을 생성하여 $79.95를 결제하도록 유도하고 있습니다.
만약 결제를 하지 않을 경우 주기적으로 시스템 트레이 하단에서 Security Shield Warning 풍선창을 통한 경고 등 정상적인 PC 사용을 방해하도록 구성되어 있으며, Windows 시작시마다 자동 실행되어 허위 진단을 통한 결제를 유도합니다.
해당 Security Shield 가짜 백신은 다행히 시스템 실행을 방해하는 동작이 없으므로, 수동으로 문제를 해결하기 위해서는 작업 관리자에서 pebhm.exe 프로세스를 수동으로 종료한 후, 해당 파일을 찾아 제거를 하시면 됩니다.
이번 사례와 같이 해외 가짜 백신 유포 방식 중에는 사용자가 허위 스캔 화면에서 제공하는 악성 파일을 직접 다운로드하여 실행해야지 감염되는 경우가 있는 반면, 다양한 취약점을 이용한 악성 스크립트를 이용한 자동 감염 방식이 존재하므로 반드시 윈도우, Adobe Flash Player, Adobe Reader 등 보안 패치를 꾸준히 체크하여 설치하는 습관이 중요하겠습니다.
728x90
반응형