본문 바로가기

벌새::Analysis

해외 가짜 백신 : RegistryCleanerPro

반응형
일전에 소개한 구글(Google) 스폰서 링크를 통한 제품 광고를 하는 해외 가짜 백신을 소개해 드린 적이 있습니다.

최근 다음(Daum) 검색을 하다가 발견한 유사한 형태의 해외 가짜 백신 RegistryCleanerPro 제품에 대해 살펴보도록 하겠습니다.

01


다음의 검색은 구글 검색을 이용한 결과를 제공하는 것으로 알려져 있으며, 스폰서 링크 역시 구글의 온라인 광고 솔루션 애드워즈를 통해 광고를 진행되므로 구글에 등록된 광고는 다음에서도 노출이 되고 있습니다.


문제의 해당 사이트에서 제공하는 제품의 명칭으로 추정해보면 레지스트리 관련 시스템 최적화 프로그램으로 보이지만, 실제 제품의 기능을 살펴보면 보안 기능을 다수 포함하고 있습니다.


배포 사이트에서 제공하는 설치 파일에 대한 국내외 보안제품의 진단 내역을 살펴보겠습니다.

MD5 : 4fdcee2deb2051546ddb60e4c5fbb2be


추가적으로 AhnLab Smart Defense 제품에서는 Dropper/Win32.Rogue 진단명으로 가짜 백신을 다운로드하는 드랍퍼(Dropper)로 진단하고 있습니다.

해외 자료를 참고해보면 해당 제작사는 전형적인 가짜 백신을 유포하는 업체로 해당 제품과 유사한 또 다른 사이트와 제품을 배포하고 있는 것을 확인할 수 있습니다.


원래 위 사이트가 초기 제작되어 배포되던 것이고 이 글에서 소개하는 제품은 새로운 인터페이스로 만들어진 최신 버전이라고 알려져 있습니다.

출처 : http://siri-urz.blogspot.com/2009/06/digiweb-corp-rogues.html


위의 사진은 이전 Registry Cleaner Pro 제품의 인터페이스 형태의 모습입니다.

다시 RegistryCleanerPro 제품으로 돌아와서 실제 제품을 설치해 보도록 하겠습니다.

생성 폴더, 파일 정보


C:\Program Files\RegistryCleaner_Pro\Close.exe (AhnLab Smart Defense : Adware/Win32.Rogue)

MD5 : 4145a37c3706aed8f27a9209f817aacd



설치된 파일 중에서 위의 파일에 대해 트로이목마(Trojan)로 진단을 하고 있습니다.

해당 제품은 초기 동작시 시스템 트레이 상단에 좌측과 같이 현재 사용자 컴퓨터에서 진단되는 문제점에 대한 알림 메시지를 생성하고 있으며, 만약 진단되는 항목이 존재할 경우 치료시 유료 결제를 유도하는 제품입니다.

초기 설치시 최신 DB 업데이트가 자동으로 이루어지지 않으므로 사용자가 업데이트 버튼을 클릭하여 업데이트를 진행한 후 사용해야 하는 방식으로 되어 있습니다.

위에서 언급하였지만 제품 이름과는 다르게 실제 악성코드와 관련된 항목도 진단을 하도록 구성되어 있습니다.



제품의 고급 검사(Advanced Scan)에서는 스파이웨어(Spyware), 애드웨어(Adware), 트로이목마(Trojan), 웜(Worm), 루트킷(Rootkit) 등 보안 요소를 포함하고 있는 것을 확인할 수 있습니다.

실제 제품을 이용하여 검사를 진행해보면 특별히 악의적인 진단을 하는 부분을 발견하지는 못하였습니다.

그럼 해당 제품이 왜 보안 제품에서 진단을 하고 있는지 살펴보겠습니다.

일단 제품 설치시 제품 폴더 외에 수상한 폴더를 생성하는 점이 있습니다.

C:\Documents and Settings\All Users\AVP 2009
 - 1.dat (0 Byte)

해당 생성 폴더명을 유추해보면 이전에는 어떤 보안 관련 프로그램을 추가적으로 설치하였던 것이 아닌가 생각됩니다.


실제 RegistryCleanerPro 제품의 업데이트 연결되는 네트워크 정보를 참고해보면 초기 수상한 FTP 서버에 쿼리를 전송한 후 해외 유명 호스팅 업체 서버에 접속하여 이 제품의 추가적인 업데이트 파일을 다운로드하고 있습니다.

위에서 살펴본 AVP 2009 폴더에 생성되는 파일 형태 역시 해당 제품의 DB 관련 파일과 유사한 명칭을 사용하는 것으로 보아 현재는 보안제품에서 진단하는 부분으로 인해 추가적인 다운로드는 실행하고 있지 않지만 분명 과거에는 악의적인 행동을 한 것으로 보입니다.

이전에도 구글 스폰서 광고에서 배포하는 일부 제품의 경우 위험할 수 있다는 것을 지적하였듯이 이번 역시 설치 초기에는 문제가 없을 수 있지만, 언젠가는 배포자가 마음만 먹으면 악의적인 동작을 할 수도 있다는 것을 확인할 수 있었습니다.
728x90
반응형