본문 바로가기

벌새::Analysis

안철수연구소(AhnLab) V3 보안 제품을 진단하는 국내 가짜 백신 Virus2Bye

국내에서 제작된 가짜 백신(Fake AV) 바이러스바이(VirusBye) 프로그램의 변종 Virus2Bye는 최근에 경로를 확인하기 어려운 방식으로 인터넷 사용자 시스템에 설치가 되어 정상적인 시스템이 감염되었다는 허위 정보를 통해 유료 결제를 시도하고 있는 것으로 알려져 있습니다.

특히 해당 프로그램은 진단되는 항목 중에서 안철수연구소(AhnLab) V3 보안 제품의 중요 파일을 악성코드로 진단하는 동작과 함께 사용자 몰래 추가적으로 설치한 검색 도우미 프로그램 SearchFree에서 생성한 파일을 악성코드로 진단을 하는 동작까지 확인을 할 수 있었습니다.

[Virus2Bye URL 정보]

h**p://www.virus***.pe.kr/count/inst.php?ucode=(사용자 Mac Address)&pcode=partner1
h**p://www.virus***.pe.kr/app/update/list.html
h**p://virus***.pe.kr/app/update/update_app.html
h**p://virus***.pe.kr/app/files/data/dt.cab
h**p://www.virus***.pe.kr/count/boot.php?ucode=(사용자 Mac Address)&pcode=partner1
h**p://www.virus***.pe.kr/_admin/notify.php
h**p://www.virus***.pe.kr/count/unst.php?ucode=(사용자 Mac Address)&pcode=partner1

프로그램을 설치하면 사용자 몰래 사용자 계정 폴더 내에 SearchFree 프로그램을 추가로 설치를 하고 있으며, 해당 프로그램의 생성 파일 중에는 [%SystemRoot%\system32\sircheckfile.dat] 파일이 포함되어 있습니다.

그런데 Virus2Bye 프로그램이 진단하는 악성코드 진단 항목에는 다음과 같은 항목을 포함하고 있는 것을 확인할 수 있습니다.

Agt.22041 : Win-Spyware/Agent.44032.J
 - %sysdir%\drivers\AhnFlt2k.sys

BHO.Intrich : Win-Adware/BHO.Intrich.595456
 - %sysdir%\sircheckfile.dat

BHO.Carmel : Win-Adware/BHO.Carmel.594432
 - %sysdir%\sircheckfile.dat

시스템 폴더 내의 드라이버 폴더에 존재하는 AhnFlt2k.sys 파일은 안철수연구소 보안 제품의 파일 시스템 필터 드라이버로 정상적인 파일이며, 자신이 생성한 sircheckfile.dat 파일을 다양한 진단명으로 진단을 하여 마치 원래 감염된 시스템처럼 진단하는 동작을 확인할 수 있습니다.

그 외에도 정상적인 schedlgu.txt 파일과 같은 텍스트 파일을 진단하는 동작을 통해 다수의 오진 또는 악의적인 진단을 포함하고 있습니다.

이처럼 정상적인 보안 제품의 진단을 방해할 목적으로 중요 파일을 진단하거나 자신이 사용자 몰래 설치한 프로그램(파일)을 악성코드로 진단하는 행위는 명백한 가짜 백신의 동작 방식입니다.

해당 Virus2Bye를 비롯한 사용자 몰래 설치되는 SearchFree에 대해서는 다음과 같이 안철수연구소 보안 제품에서 진단을 하고 있습니다.

[안철수연구소 진단 정보]

Win-Dropper/Rogue.Virus2Bye.2242885
Win-Adware/Rogue.Virus2Bye.1871872
Win-Adware/Rogue.Virus2Bye.241664
Win-Downloader/Rogue.Virus2Bye.425984 
Win-Adware/BHO.SearchFree.292352 
Win-Downloader/SearchFree.455680 
Win-Downloader/SearchFree.215552


국내 가짜 백신 중의 특징 중의 하나는 국내 유명 보안 업체에서 분석하여 공개한 정보를 이용하여 추가적인 검증없이 자신들의 진단에 이용하는 과정에서 오진을 유발하거나 또는 악의적인 진단을 통해 유료 결제를 유도하는 경향이 있습니다.

일반적으로 국내 가짜 백신의 진단 DB는 특정 프로그램에 국한된 문제가 아니라 해당 유포 업체의 다른 제품에서도 동일하게 진단될 수 있으므로 인터넷 사용자는 자신도 모르게 설치된 프로그램에서 진단하는 악성코드 정보는 신뢰하지 마시고 유료 결제를 하지 않도록 주의하시기 바랍니다.