본문 바로가기

벌새::Security

국내 사이트를 통한 해외 가짜 백신 유포 사례

반응형
국내 인터넷 사용자 중에서 국내 사이트를 접속하였다가 해외에서 제작된 가짜 백신에 감염되는 사례가 있었지만, 개인적으로 확인된 사이트는 존재하지 않았는데 배포 방식과 감염 방식에 대한 정보를 확인할 수 있는 기회가 있어서 정리를 해보겠습니다.

국내 P 사이트의 경우 윈도우 속도 향상 관련 프로그램을 제작하여 판매를 하고 있으며, 개인적인 기억으로는 과거 스팸 메일 방식으로 자사 제품 광고를 무작위로 홍보하는 이메일을 발송하였던 것으로 기억하고 있습니다. 그러던 중 최근 해당 이메일을 수신한 사용자가 이메일에서 제공하는 해당 업체 링크를 통해 접속시 해외 가짜 백신 유포와 관련된 스캔(Scan) 사이트로 연결이 되면서 컴퓨터 감염이 발생하거나, 또는 국내 P 사이트 자체가 Windows 보안 취약점을 이용한 변조를 통해 보안 패치가 되지 않은 컴퓨터로 접속시 감염을 야기시키는 것으로 추정됩니다.

여기에서 재미있는 사실은 해당 사이트 접근 방법에 따라 다르게 구현이 된다는 점입니다.

1. 인터넷 주소창에 사이트 URL 입력 방식 또는 즐겨찾기 연결 방식 접근시



사용자가 해당 사이트 접속시 인터넷 주소창에 URL를 입력하거나 사전에 즐겨찾기에 등록한 상태로 접근시에는 그림과 같이 사이트가 제대로 구현이 되는 것을 확인할 수 있습니다.

[악성코드 유포 경로]

h**p://www.pump*****.kr/
 - h**p://best***.ru:8080/index.php ; 접속불가
 - h**p://best***.ru:8080/filez/java.html
 - h**p://bale.**/show.php
  -> [Redirect] h**p://superpupermega******.com/
   ->> h**p://superpupermega******.com/SmartDownload.exe (AntiVir : GAME/Casino.Gen)

초기 사이트 확인시에는 정상적으로 악성코드가 동작하여 Microsoft Data Access - Remote Data Services Data Control 관련 ActiveX 창을 구현하는 것을 확인할 수 있지만, 2차 방문시에는 index.php 파일이 연결되지 않는 현상을 통해 구현이 되지 않는 것을 확인할 수 있었습니다.

그로인해 정확한 정보는 확인할  수 없었지만, Windows 보안 취약점을 악용하여 보안 패치가 되지 않은 사용자가 접속시 악성코드 다운로드를 통한 가짜 백신을 설치하도록 구성되어 있으리라 추정됩니다.

또한 추가적으로 show.php 파일은 해외 특정 카지노 관련 사이트로 리다이렉트되어 해당 사이트에서 제공하는 파일을 통해 도박 게임을 설치하도록 유도하고 있습니다.

즉, 이번 사이트 변조와 기타 동작을 고려한다면 다분히 금전적 이득을 위해 전개되는 모양을 확인할 수 있다는 점입니다.

2. 외부 링크(검색 사이트, 이메일)를 통한 접근시



해당 접근 방식은 직접 입력 방식이 아닌 외부의 검색 사이트를 통한 접근이나 이메일을 통한 링크 접근을 할 경우 1번과는 달리 해당 사이트로 연결이 되는 것이 아닌 그림과 같이 해외 가짜 백신 스캔(Scan) 사이트로 납치가 이루어지는 것을 확인할 수 있었습니다.

[악성코드 유포 경로]

h**p://www.pump*****.kr/
 - [Redirect] h**p://info*****.info/0/go.php?sid=2
  -> [Redirect] h**p://daddy-******.cn/?pid=272&sid=117e25
   ->> h**p://********-protection23.com/scan1/?pid=272&engine=%3D3Wx9Tj1NDE0MC4xNy4zMCZ0aW1lPTEyNS43MY[6자리 영문 Random값]
    ->>> h**p://********-protection03.com/download/Soft_272.exe (Microsoft : Trojan:Win32/FakeXPA)

이번의 경우에는 사용자가 원하는 사이트에 접속시 2곳의 리다이렉트 방식을 통하여 해외 가짜 백신이 사용자 컴퓨터를 검사하는 것처럼 위장하여 정상적인 시스템이 악성코드에 감염되었다는 허위 정보로 자신들이 최종적으로 설치하려는 Soft_272.exe 파일을 다운로드하도록 유도하고 있습니다.

이렇게 다운로드된 파일을 실행할 경우 특정 서버에 접속하여 가짜 백신 Total Security를 다운로드하여 결제를 유도하며, 사용자 컴퓨터 사용을 방해할 수 있습니다.

현재 시간을 기준으로 해당 파일에 대해 바이러스토탈(VirusTotal)에서는 2개 보안제품에서만 진단될 정도로 감염시 빠른 치료가 불가능한 실정입니다.

해외에서 제작된 가짜 백신이 이제는 국내 웹 사이트 변조를 통해 유포가 되고 있으며, 특히 유포 방식이 상당히 지능적으로 이루어지고 있으므로 사용자는 알려진 Windows 보안 업데이트를 반드시 설치를 하시기 바라며, 그 외에도 유명 응용 프로그램 관련 보안 패치가 적용된 최신 버전을 이용하시어 만약에 변조된 사이트에 접속하더라도 실질적인 피해를 입지 않도록 해야겠습니다.

참고로 2번의 그림과 같이 가짜 백신을 통한 컴퓨터 검사 화면이 생성될 경우 당황하지 마시고 해당 창을 닫아주시면 되며, 추가적인 팝업창을 통해 또 다른 창이 생성되는 경우에도 차분히 닫아주시면 됩니다. 만약 파일이 다운로드될 경우에는 해당 파일을 절대 실행하지 마시고, 사용하시는 보안업체에 샘플 신고를 하시거나 삭제를 하시기 바랍니다.
반응형