본문 바로가기

벌새::Analysis

동계 올림픽 김연아 선수를 이용한 해외 가짜 백신 유포 (2010.2.25)

반응형
최근 캐나다에서 열리고 있는 동계 올림픽에 참가한 김연아 선수의 인기를 이용하여 해외 가짜 백신(Fake AV)이 악성코드 유포에 활용하고 있다는 소식입니다.

실제 어떤 방식으로 유포가 이루어지고 있는지 확인을 해 보았으며, 위와 같은 Blackhat SEO 방식의 경우 웹 검색 상에서는 정상적인 인터넷 사이트로 보이지만 접속하는 과정에서 악의적인 사이트로 변경되는 방식이므로 특히 해외 인터넷 사이트를 이용하시는 분들은 매우 주의하시기 바랍니다.

구글(Google) 사이트에서 김연아 선수의 트위터(Twitter) 관련 검색어를 입력하였을 경우 첫 번째 페이지에서 김연아 선수의 정상적인 Twitter 검색 결과가 제시되고, 바로 하단에 문제의 가짜 백신 유포를 위한 검색 결과가 함께 제시되고 있는 것을 확인하였습니다.

해당 사이트에 접속시 그림과 같은 사용자 컴퓨터가 악성 공격에 취약하다는 경고 메시지를 통해 검사를 권장하고 있습니다.

자동으로 연결된 검사 페이지에서는 사용자 컴퓨터에서 다수의 악성코드가 발견되었다는 허위 정보를 출력하여 이를 제거하기 위한 파일을 다운로드하도록 유도하고 있습니다.

MD5 : 073e648799c152e9910eb33166a640cb

사이트에서 다운로드되는 파일은 현재 시간으로 VirusTotal에서 일부 보안 제품에서만 사전 진단을 하고 있을 정도로 다양한 변종이 존재할 것으로 추정됩니다.

다운로드된 파일을 실행할 경우 Security Antivirus 라는 이름의 해외 가짜 백신이 설치가 되는 것을 확인할 수 있습니다.

1. 폴더 / 파일 생성

%(사용자 계정)%\Local Settings\Temp 폴더에 자기 자신을 복제
%(모든 사용자 계정)%\Application Data\(임의의 숫자+영문) 폴더\(임의의 숫자+영문).exe 파일 생성

2. 레지스트리 생성

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - SAV = "%(사용자 계정)%\Local Settings\Temp\(임의의 숫자+영문).exe" /cs:0

이렇게 설치된 악성코드는 Windows가 시작될 때마다 자동 실행되어 허위 정보를 바탕으로 결제를 유도하고 있으며, 사용자의 정상적인 컴퓨터 활동을 방해하는 것으로 알려져 있습니다.


728x90
반응형