네이버(Naver), 다음(Daum) 포털 사이트에서 제공하는 무료 백신과 마찬가지로 중국(China)에서도 바이두(Baidu) 포털 사이트에서는 百度杀毒(Baidu Antivirus) 무료 백신을 서비스하고 있는 것으로 알고 있습니다.
▷ <바이러스 제로 시즌 2> Baidu Antivirus 2013 간단히 살펴보기 (2013.6.29)
- Baidu Antivirus 4.4.3.62623 버전(영문판) : Baidu Antivirus 엔진 + Baidu Cloud Security 엔진 + Avira Antivirus 엔진
- 百度杀毒(Baidu Antivirus) 1.8.0.1196 버전(중국어판) : Baidu Antivirus 엔진 + Baidu Cloud Security 엔진 + Kaspersky Anti-Virus SDK 8 Level 3
특이한 점은 중국어판과 영문판 버전의 엔진 구성이 다르다는 점이며, 이 글에서는 중국어판을 사용자 PC에 설치하도록 홍보하는 중국 사이트의 홍보 방식에 대해 살펴보도록 하겠습니다.
중국 웹 사이트를 이용하던 중 웹 브라우저의 우측 하단 영역에 Kaspersky 진단명(Trojan.Win32.Agent.hwlr)을 이용하여 百度杀毒 백신 프로그램이 마치 악성코드를 진단한 듯한 광고 팝업창이 생성되는 것을 목격할 수 있습니다.
해당 광고 팝업창을 클릭할 경우 바이두(Baidu) 웹 사이트로 연결되어 웹 상에서 마치 Kaspersky Anti-Virus 보안 제품이 검사를 하는 듯한 애니메이션을 표시한 후 특정 IP 서버에서 pskmeiv_30650.exe 파일을 다운로드하도록 유도합니다.
다운로드된 pskmeiv_30650.exe 파일(SHA-1 : e628d0e7d4ce9a45b568d075c7375ec1e50d8b3d)은 "Beijing baidu Netcom science and technology co.ltd" 디지털 서명이 포함된 정상적인 파일입니다.
다운로드된 파일을 실행하면 아무런 설치 안내없이 자동으로 百度杀毒(Baidu Antivirus) 백신 프로그램 설치가 진행되도록 되어 있습니다.
이를 통해 자동으로 설치된 百度杀毒(Baidu Antivirus) 1.8.0.1196 버전은 정상적으로 실시간 감시를 비롯한 모든 기능을 사용할 수 있도록 제공하고 있습니다.
위와 같은 제품 홍보 방식 및 설치 과정을 돌아보면 허위 과장 광고를 통해 사용자에게 실제 감염되지 않은 PC 또는 웹 사이트를 악성으로 표시하여 百度杀毒(Baidu Antivirus) 보안 제품을 설치하도록 유도하고 있으며, 百度杀毒(Baidu Antivirus) 프로그램 설치시에도 사용자 동의 등의 어떠한 절차를 거치지 않는다는 점에서 문제가 있습니다.
이런 문제로 인해 百度杀毒(Baidu Antivirus) 배포 파일에 대하여 Malwarebytes Anti-Malware 2.00 제품에서는 유일하게 PUP.Optional.BundleInstaller (VT : 1/51) 진단명으로 진단이 이루어지고 있는게 아닌가 생각됩니다.
하지만 실제 설치된 이후의 百度杀毒(Baidu Antivirus) 프로그램의 생성 파일은 모두 정상적인 파일이며, 업체에서는 사용자를 다소 기만하는 마케팅 방식으로 프로그램 설치를 유도하는 있습니다.
국내에서는 百度杀毒(Baidu Antivirus) 무료 백신(중국어판)을 설치하는 일은 거의 없겠지만 중국 웹 사이트를 이용하는 과정에서 위와 같은 허위 광고에 속지 않도록 조심하시기 바랍니다.