McAfee DAT 5958 엔진으로 인한 오진과 해외 가짜 백신 유포 주의 (2010.4.22)

세계적인 보안 업체 McAfee에서 제공하는 기업용 보안 제품 VirusScan Enterprise에서 2010년 4월 21일 수요일 오전 9시 54분 업데이트된 DAT 5958 엔진에서 오진이 발생하여 많은 사용자들의 시스템 장애를 유발하는 사고가 발생하였습니다.

해당 엔진으로 업데이트된 사용자 중에서 Windows XP SP3 환경인 경우 svchost.exe 파일을 W32.Wecorl.a 진단명으로 오진하여 블루스크린(BSoD) 현상이 발생한 후 시스템 재부팅이 반복되는 문제로 인해 병원, 기업, 학교 등 다수의 시스템이 영향을 받았다고 합니다.

업체에서는 해당 문제를 확인하고 2010년 4월 21일 수요일 오후 2시경에 문제를 해결한 DAT 5959 엔진으로 업데이트를 하였으며, 현재 업체에서는 Recovery SuperDAT Tool(파일 링크)을 통해 문제가 발생한 사용자 시스템을 수정해 주고 있습니다.

• <McAfee> False positive detection of w32/wecorl.a in 5958 DAT (for Corporate/Business users) - VirusScan Enterprise (2010.4.22)

그런데, 이번 오진 사고를 이용하여 해외 가짜 백신이 BlackHat SEO 방식으로 유포하는 행위를 추가로 확인하였으므로 주의가 요구됩니다.

구글(Google) 검색을 통해 해당 오진으로 인한 내용을 검색을 할 경우 그림과 같은 악의적인 링크를 통해 해외에서 제작된 가짜 백신(Fake AV) 사이트로 납치를 하는 동작을 확인하였습니다.

가짜 백신 스캐너 사이트에서는 사용자 시스템이 악성코드에 감염된 상태라는 허위 정보를 바탕으로 사이트에서 제공하는 악의적인 파일을 다운로드하여 실행하도록 유도하고 있습니다.

MD5 : 9c5b86efed538b1112c5f8a80793abeb

다운로드된 setup_build30_195.exe 파일은 Sophos 보안 제품에서 Mal/FakeAV-BW (VirusTotal : 9/41) 진단명으로 진단이 되는 것을 확인할 수 있습니다.

해당 파일을 실행할 경우 CleanUp Antivirus라는 가짜 백신이 설치되어 사용자 시스템이 감염되었다는 허위 정보를 바탕으로 유료 결제를 요구하고, 정상적인 컴퓨터 사용을 방해하는 동작을 합니다.

이처럼 보안 업체의 오진 사고를 이용한 악성코드 유포 행위가 발생할 수 있으므로 인터넷을 이용하시는 분들은 주의하시기 바라며, 보안 제품과 관련된 업데이트 파일은 반드시 해당 제작사 사이트를 이용하여 받으시기 바랍니다.