본문 바로가기

벌새::Analysis

영화 New Moon을 이용한 해외 가짜 백신 유포

반응형
2009년 11월 20일에 개봉하는 2008년작 Twilight의 두 번째 시리즈 The Twilight Saga : New Moon과 관련하여 구글(Google) 검색을 이용한 해외 가짜 백신(Scarewre)이 유포되는 것을 확인하였습니다.


그림과 같이 New Moon을 감상할 수 있다는 내용의 글을 게시하여 특정 유명 블로그(Blog)로 인터넷 사용자를 유인하도록 하고 있습니다.


해당 블로그의 게시글에서는 무료로 영상을 볼 수 있다는 제목을 통해 하단의 플레이어(Player)를 실행하도록 구성하고 있으며, 해당 플레이어를 실행할 경우 악의적으로 구성된 특정 웹 사이트로 이동을 하도록 되어 있습니다.


해당 사이트에서는 동영상을 보기 위해서는 반드시 코덱(Codec)을 설치할 것을 요구하며, pmstream_update.exe 코덱 설치 파일을 다운로드하도록 되어 있습니다.

MD5 : 36401d278452688feeb692aa8454b2a8


다운로드된 파일은 Kaspersky 기준 Trojan-Downloader.Win32.FraudLoad.fzf 진단명으로 진단을 하는 악성코드이며, 해당 파일을 실행할 경우 [%Systemroot%\system32\winupdate86.exe] 파일을 생성하여 윈도우 시작시 자동 실행이 되며, 사용자 컴퓨터의 작업 관리자(taskmgr.exe)를 사용하지 못하게 방해를 하도록 되어 있습니다.

최종적으로 다운로드되는 해외 가짜 백신 Security Tool을 통해 허위 진단 정보를 통한 유료 결제를 요구하는 것을 확인할 수 있습니다.

위와 같은 BlackHat SEO(Search Engine Optimization) 유포 방식은 사회적 이슈를 통해 인터넷 사용자들이 특정 시간대에 많이 검색하는 정보를 바탕으로 악성코드를 유포하는 방식이므로 동영상을 웹 상에서 보기 위해 추가적으로 설치를 요구할 경우에는 매우 주의하시기 바랍니다.
728x90
반응형