울지않는벌새 : Security, Movie & Society

해외 가짜 백신 XP Internet Security 한글판

벌새::Security
최근 해외에서 제작된 가짜 백신(Rogue)이 설치된 사용자의 OS 언어에 따라 다양하게 설치되면서 한글판도 출현하였다는 소식을 전하였습니다.

출처 : 네이버(Naver) 지식iN

이번에는 Antivirus Vista 2010 프로그램과 동일한 시리즈로 배포되고 있는 XP Internet Security에서도 한글판으로 설치되는 것을 확인하였습니다.

해외 가짜 백신 정보 사이트 Bleepingcomputer.com에서 제공하는 정보에 따르면 이들 시리즈는 다음과 같은 다양한 이름으로 배포가 이루어지고 있으며, UI과 동작 방식은 거의 유사하다고 합니다.
  1. Antivirus Vista 2010
  2. Vista Antispyware 2010
  3. Vista Guardian
  4. Vista Antivirus Pro
  5. Vista Internet Security
  6. Vista Internet Security 2010
  7. XP Guardian
  8. XP Antivirus Pro
  9. XP AntiSpyware 2010
  10. XP Internet Security
  11. XP Internet Security 2010
  12. Antivirus XP 2010
  13. Win7 Guardian
  14. Win 7 Antivirus Pro
  15. Win 7 Antispyware 2010
  16. Win 7 Internet Security
  17. Win 7 Internet Security 2010

현재까지 알려진 정보에 의하면 해외 가짜 백신의 수는 2,000종 이상이 발견되었으며, 이번과 같이 한글을 지원하며 프로그램 이름이 마이크로소프트(Microsoft)사에서 제공하는 것처럼 사용자를 속일 수 있습니다.

프로그램의 기본적인 동작은 감염된 시스템에서 정상적인 Windows 보안 센터가 출력하여 시스템에 문제가 있는 것처럼 사용자를 속이며, AV.exe(경로 : %(사용자 계정)%\Local Settings\Application Data\av.exe) 프로세스를 생성하여 프로그램을 동작합니다.

프로그램은 각종 정상적인 파일을 악성코드로 허위 진단을 통해 유료 치료를 요구하며 정상적인 컴퓨터 사용을 방해합니다. 특히 프로그램을 삭제하기 위해 제어판에서 삭제 항목이 존재할 경우에도 삭제가 되지 않으며, 삭제 항목 자체가 존재하지 않을 수 있습니다.

[생성 파일 등록 정보]

%(사용자 계정)%\Local Settings\Application Data\av.exe
%(사용자 계정)%\Local Settings\Application Data\WRblt8464P

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
 - 기본값 = "%(사용자 계정)%\Local Settings\Application Data\av.exe" /START "%1" %*
HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command
 - 기본값 = "%(사용자 계정)%\Local Settings\Application Data\av.exe" /START "%1" %*
HKEY_CLASSES_ROOT\.exe\shell\open\command
 - 기본값 = "%(사용자 계정)%\Local Settings\Application Data\av.exe" /START "%1" %*
HKEY_CLASSES_ROOT\secfile\shell\open\command
 - 기본값 = "%(사용자 계정)%\Local Settings\Application Data\av.exe" /START "%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\
open\command

 - 기본값 = "%(사용자 계정)%\Local Settings\Application Data\av.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\
safemode\command

 - 기본값 = "%(사용자 계정)%\Local Settings\Application Data\av.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\
open\command

 - 기본값 = "%(사용자 계정)%\Local Settings\Application Data\av.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
 - "AntiVirusOverride" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
 - "FirewallOverride" = "1"

레지스트리 정보를 보시면 사용자가 Internet Explorer, Firefox를 실행시 특정 사이트로 납치(Hijack) 하도록 구성되어 있으며, Windows 보안 센터에 정상적으로 등록된 정보를 무력화하여 마치 시스템에 문제가 발생한 것처럼 사용자를 속이고 있습니다.

이런 프로그램은 스팸 메일을 통한 배포, 검색 사이트를 통한 특정 검색 결과 클릭시 스캐너(Scanner) 사이트 납치, 불법 프로그램 설치시 추가 다운로드 등의 다양한 경로를 통해 유포가 이루어지고 있습니다.

그러므로 사용자는 신뢰할 수 있는 보안 제품을 이용하여 실시간 감시를 활성화하시고, 수상한 사이트의 접근을 하지 않도록 주의하시기 바랍니다.