본문 바로가기

벌새::Analysis

구글 스폰서 링크에 등록된 가짜 백신 - SpywareSTOP

반응형
세계 최대 검색 엔진은 사용자에게 원하는 정보에 접근할 수 있는 기회를 제공한다는 장점이 있지만, 악의적인 파일을 유포하는 입장에서도 구글처럼 좋은 유포 경로를 잘 활용한다는 점도 잊지 말아야겠습니다.

구글(Google)에서 제공하는 스폰서 링크(Sponsor Link)를 통해 현재 국내외 보안제품에서 가짜 백신(Rogue AV)으로 진단하는 예를 살펴보도록 하겠습니다.


구글에서 해외에서 제작된 가짜 백신 SpywareSTOP이라는 제품에 대한 검색을 시도할 경우 위의 그림과 같이 스폰서 링크로 해당 제품이 강조가 되어서 맨 상단에 표기가 되고 있습니다.

재미있는 것은 해당 제품의 공식 사이트(Official SpywareBot) 하단에 위치한 또 다른 광고 링크입니다.

해당 광고 문구는 "Don't Buy Spyware Stop"로 표기되어 있는데, 즉 "SpywareSTOP 제품을 구입하지 마세요"로 시선을 사로잡아 해당 링크로 접근을 유도하는 것으로 보입니다.

실제 두 스폰서 링크를 클릭하면 모두 SpywareSTOP 사이트로 이동을 하므로 구글 웹 상에서 표기된 SpywareStop.TheDiscount.org 도메인은 존재하지 않는 것으로 확인이 됩니다.


상당히 지능적으로 광고를 하고 있는 이 제품은 실제 해당 사이트에서 설치 파일을 다운로드 였을 경우 제가 사용하고 있는 보안 제품에서 진단을 하고 있는 것을 확인할 수 있었습니다.

[SpywareSTOP 설치 파일 진단 상황]

AhnLab V3 : Win-Dropper/Rogue.SpywareStop.4802565

Antivirus;Version;Last Update;Result
a-squared;4.0.0.101;2009.04.29;Riskware.FraudTool.Win32.MalwareRomovalBot!IK
AntiVir;7.9.0.156;2009.04.29;DR/Fraud.MalwareRomovalBot.B.23
Fortinet;3.117.0.0;2009.04.29;Misc/MalwareRomovalBot
Ikarus;T3.1.1.49.0;2009.04.29;not-a-virus:FraudTool.Win32.MalwareRomovalBot
K7AntiVirus;7.10.719;2009.04.29;not-a-virus:FraudTool.Win32.MalwareRomovalBot.b
Kaspersky;7.0.0.125;2009.04.29;not-a-virus:FraudTool.Win32.MalwareRomovalBot.b
McAfee+Artemis;5599;2009.04.28;Artemis!4B5237C890AF
McAfee-GW-Edition;6.7.6;2009.04.29;Trojan.Dropper.Fraud.MalwareRomovalBot.B.23
NOD32;4043;2009.04.29;Win32/Adware.AntiSpyware2008
Panda;10.0.0.14;2009.04.28;Trj/CI.A
Sophos;4.41.0;2009.04.29;Mal/FakeAV-AQ
ViRobot;2009.4.29.1715;2009.04.29;Adware.MalwareRomovalBot.R.5296681

Additional information
File size: 5296681 bytes
MD5...: 4b5237c890af0362526bf734947e9b9a
SHA1..: c80df8a55f234ccad85cf0cbabb2b3f90247173a


게다가 제품과 유사한 명칭의 SpywareBOT라는 이름으로 검색을 하였을 경우, 동일하게 구글 스폰서 링크에 등록이 되어 있으며 해당 링크가 위에서 살펴본 SpywareSTOP로 연결이 되는 것을 확인할 수 있었습니다.

구글 검색이 사용자가 원하는 각종 유용한 정보를 제공해 주는 것은 분명하지만, 구글에서 자체적으로 서비스하는 스폰서 링크가 위와 같이 가짜 백신이 포함될 수 있다는 점도 유념해야 할 것입니다.

해외 정보를 확인해보면 악의적으로 구글 광고에 가짜 백신을 등록하여 배포하다가 신고를 통해 차단되는 경우가 가끔씩 보이는데, 해당 제품의 경우에는 작년 또는 그 이전부터 꽤 오래 등록이 되어 있는 것으로 보아 구글의 자체 진단 정책에서 해당 제품을 인정하는 것인지 알 수는 없지만 국내외 신뢰할 수 있는 보안제품에서 가짜 백신으로 진단하는 것을 미루어보아 보안제품으로서의 기능은 없다고 봐야할 것입니다.
728x90
반응형