본문 바로가기

벌새::Security

해외 가짜 백신 Total Security 2009의 Ransomware 기술

반응형
최근 국내 인터넷 사용자들이 국내에서 제작된 가짜 백신이 아닌 해외에서 제작된 다양한 가짜 백신에 감염되는 사례가 크게 증가하고 있는 것으로 보입니다.

이러한 감염의 가장 큰 원인은 윈도우 보안 업데이트를 제대로 하지 않은 컴퓨터 환경, 각종 유명 응용 프로그램의 보안 취약점을 해결한 최신 업데이트 버전을 사용하지 않는 경우, 이메일을 통해 수신된 첨부 파일을 임의로 실행한 경우 또는 불법적인 파일을 이용하는 등 다양한 원인이 있는 것으로 보입니다.

특히 해외 가짜 백신 중에서는 감염시 컴퓨터 사용 자체를 차단하고 반드시 금전적 결제를 해야지만 정상적으로 이용할 수 있도록 하는 Ransomware 기술을 추가하는 경우가 있습니다.

출처 : PandaLab


즉, 감염된 컴퓨터에 특정 시리얼 번호 등을 입력하게 만들고 해당 번호를 얻기 위해서 결제를 요구하는 경우가 있는데, 최근 해외에서 공개된 비디오를 통해 어떤 악의적인 동작이 있는지 확인해 보시기 바랍니다.

해당 가짜 백신은 Total Security 2009에 감염된 경우를 예로 들고 있습니다.

Rogueware with new Ransomware Technology™ from Panda Security on Vimeo.



해당 동영상에 대한 간단한 소개는 다음과 같습니다.

사용자가 임의의 경로를 통해 특정 파일을 다운로드하여 해당 파일을 실행하였습니다. 실행이 된 파일은 갑자기 사라지는 현상이 발생하며, 실제 프로세스 정보를 확인해보면 임의의 숫자로 구성된 프로세스가 생성되어 프로그램이 동작하고 있는 것을 확인할 수 있습니다.

일반적인 환경에서는 파일이 사라짐으로 인해 사용자가 프로세스 생성을 통해 어떤 동작이 진행되고 있는 줄 확인하기 어렵습니다.

이렇게 동작한 환경에서 사용자가 컴퓨터를 재시작하게 되면 이미 특정 서버로부터 다운로드된 가짜 백신이 동작하면서 바탕화면의 배경 그림을 변경하고 컴퓨터가 악성코드에 감염되었다는 진단을 통해 결제를 요구하기 시작합니다.

특히 사용자가 정상적인 프로그램을 실행할 경우 전혀 실행이 되지 않으며, 컴퓨터 감염 메시지만 출력하여 사실상 결제를 하지 않을 경우 정상적인 컴퓨터 사용이 불가능해지도록 구성하게 됩니다.

소개 화면에서는 Total Security 2009 제품에 유효한 시리얼 번호를 추출하여 이를 등록하게 하여 해당 가짜 백신이 시스템을 검사하여도 아무런 악성코드가 발견되지 않게 만드는 것을 확인할 수 있는데, 이는 결제 전에는 마치 감염된 시스템처럼 허위 정보를 제공하고 감염으로 인하여 프로그램이 동작하지 않는 것처럼 구성하였지만 결제를 하면 마치 가짜 백신이 정상적인 프로그램처럼 허위 정보를 제공하지 않는 것을 확인할 수 있습니다.

그리고 그 동안 비정상적으로 동작하지 않던 프로그램 역시 정상으로 돌아오는 것을 확인할 수 있습니다.

[Total Security 2009 Ransomware 해제 시리얼 번호]

WNDS-TGN15-RFF29-AASDJ-ASD65
WNDS-U94KO-LF4G4-1V8S1-2CRFE
WNDS-6W954-FX65B-41VDF-8G4JI
WNDS-G84H6-S854F-79ZA8-W4ERS
WNDS-TTUYJ-7UO54-G561H-J1D6F
WNDS-A1SDF-6AS4D-RF5RE-79G84
WNDS-A1SDF-RY4E8-7U98D-F1GB2
WNDS-5SRTS-AEHUF-YA54S-D6F35
WNDS-P9685-4H41A-DSW3A-2R64T
WNDS-2AE32-1VFC2-B6894-G67YU
WNDS-4TS8R-D6F5D-4JH8T-U4JK5
WNDS-FGS5D-649RG-4S53D-412SF
WNDS-452S3-ER00F-TSE35-S8FSD
WNDS-SERFH-2642S-F04SD-64FG1
WNDS-F40SA-1ER5H-4FG5D-F8412
WNDS-5D1V2-XB0D5-JT1TY-97DS3
WNDS-4BGY2-JY4KO-IT98Y-7HJ43
WNDS-G8FB6-1V87S-DRT1S-63SRG
WNDS-HFVDR-9844O-U54DA-5TBSC
WNDS-89OF7-7324R-5SAD4-TG68U
WNDS-JUYH3-24GHJ-HGKSH-FKLSD

<출처 : PandaLabs Blog>

이렇게 정상적으로 동작을 시작하게 되면, 사용자는 신뢰할 수 있는 보안제품을 통해 해당 가짜 백신을 반드시 진단 및 치료를 하여 더 이상 활동하지 못하게 하시기 바랍니다.

근래 해외 가짜 백신은 단순히 프로그램의 제거가 파일, 레지스트리 삭제 이외에 드라이브 파일 수정 등의 동작을 통하여 시스템 파괴적인 요소가 들어가는 경우가 많으므로 매우 주의가 요구됩니다.
728x90
반응형