반응형
국내에서 제작된 가짜 백신(Fake AV) 바이러스바이(VirusBye) 프로그램의 변종 Virus2Bye는 최근에 경로를 확인하기 어려운 방식으로 인터넷 사용자 시스템에 설치가 되어 정상적인 시스템이 감염되었다는 허위 정보를 통해 유료 결제를 시도하고 있는 것으로 알려져 있습니다.
특히 해당 프로그램은 진단되는 항목 중에서 안철수연구소(AhnLab) V3 보안 제품의 중요 파일을 악성코드로 진단하는 동작과 함께 사용자 몰래 추가적으로 설치한 검색 도우미 프로그램 SearchFree에서 생성한 파일을 악성코드로 진단을 하는 동작까지 확인을 할 수 있었습니다.
[Virus2Bye URL 정보]
h**p://www.virus***.pe.kr/count/inst.php?ucode=(사용자 Mac Address)&pcode=partner1
h**p://www.virus***.pe.kr/app/update/list.html
h**p://virus***.pe.kr/app/update/update_app.html
h**p://virus***.pe.kr/app/files/data/dt.cab
h**p://www.virus***.pe.kr/count/boot.php?ucode=(사용자 Mac Address)&pcode=partner1
h**p://www.virus***.pe.kr/_admin/notify.php
h**p://www.virus***.pe.kr/count/unst.php?ucode=(사용자 Mac Address)&pcode=partner1
h**p://www.virus***.pe.kr/count/inst.php?ucode=(사용자 Mac Address)&pcode=partner1
h**p://www.virus***.pe.kr/app/update/list.html
h**p://virus***.pe.kr/app/update/update_app.html
h**p://virus***.pe.kr/app/files/data/dt.cab
h**p://www.virus***.pe.kr/count/boot.php?ucode=(사용자 Mac Address)&pcode=partner1
h**p://www.virus***.pe.kr/_admin/notify.php
h**p://www.virus***.pe.kr/count/unst.php?ucode=(사용자 Mac Address)&pcode=partner1
프로그램을 설치하면 사용자 몰래 사용자 계정 폴더 내에 SearchFree 프로그램을 추가로 설치를 하고 있으며, 해당 프로그램의 생성 파일 중에는 [%SystemRoot%\system32\sircheckfile.dat] 파일이 포함되어 있습니다.
Agt.22041 : Win-Spyware/Agent.44032.J
- %sysdir%\drivers\AhnFlt2k.sys
BHO.Intrich : Win-Adware/BHO.Intrich.595456
- %sysdir%\sircheckfile.dat
BHO.Carmel : Win-Adware/BHO.Carmel.594432
- %sysdir%\sircheckfile.dat
- %sysdir%\drivers\AhnFlt2k.sys
BHO.Intrich : Win-Adware/BHO.Intrich.595456
- %sysdir%\sircheckfile.dat
BHO.Carmel : Win-Adware/BHO.Carmel.594432
- %sysdir%\sircheckfile.dat
그 외에도 정상적인 schedlgu.txt 파일과 같은 텍스트 파일을 진단하는 동작을 통해 다수의 오진 또는 악의적인 진단을 포함하고 있습니다.
이처럼 정상적인 보안 제품의 진단을 방해할 목적으로 중요 파일을 진단하거나 자신이 사용자 몰래 설치한 프로그램(파일)을 악성코드로 진단하는 행위는 명백한 가짜 백신의 동작 방식입니다.
해당 Virus2Bye를 비롯한 사용자 몰래 설치되는 SearchFree에 대해서는 다음과 같이 안철수연구소 보안 제품에서 진단을 하고 있습니다.
[안철수연구소 진단 정보]
Win-Dropper/Rogue.Virus2Bye.2242885
Win-Adware/Rogue.Virus2Bye.1871872
Win-Adware/Rogue.Virus2Bye.241664
Win-Downloader/Rogue.Virus2Bye.425984
Win-Adware/BHO.SearchFree.292352
Win-Downloader/SearchFree.455680
Win-Downloader/SearchFree.215552
Win-Dropper/Rogue.Virus2Bye.2242885
Win-Adware/Rogue.Virus2Bye.1871872
Win-Adware/Rogue.Virus2Bye.241664
Win-Downloader/Rogue.Virus2Bye.425984
Win-Adware/BHO.SearchFree.292352
Win-Downloader/SearchFree.455680
Win-Downloader/SearchFree.215552
국내 가짜 백신 중의 특징 중의 하나는 국내 유명 보안 업체에서 분석하여 공개한 정보를 이용하여 추가적인 검증없이 자신들의 진단에 이용하는 과정에서 오진을 유발하거나 또는 악의적인 진단을 통해 유료 결제를 유도하는 경향이 있습니다.
일반적으로 국내 가짜 백신의 진단 DB는 특정 프로그램에 국한된 문제가 아니라 해당 유포 업체의 다른 제품에서도 동일하게 진단될 수 있으므로 인터넷 사용자는 자신도 모르게 설치된 프로그램에서 진단하는 악성코드 정보는 신뢰하지 마시고 유료 결제를 하지 않도록 주의하시기 바랍니다.
728x90
반응형