울지않는벌새 : Security, Movie & Society

SPG MP3 Recorder 프로그램을 이용한 해외 가짜 백신 유포 주의 (2010.5.5)

벌새::Analysis
해외 가짜 백신(Fake AV) 유포 방식 중 가장 접하기 쉬운 방법 중의 하나가 구글(Google) 검색을 통한 특정 Referer 접근 경로로 악의적인 인터넷 사이트에 접속하였을 경우 감염으로 연결될 수 있습니다.

하지만 이런 특정 환경이 아닌 정상적인 프로그램을 통한 방식을 모두 감안한 유포 방식도 존재하기에 SPG MP3 Recorder 프로그램을 통해 살펴보도록 하겠습니다.

해당 프로그램의 제작사 사이트에 사용자가 Google 검색을 통한 접속, 주소창에 사이트 입력을 통한 접속 등 다양한 방식으로 접속을 시도할 경우 가짜 백신 유포 사이트로 납치를 하는 동작이 발생하고 있으며, 사이트 접속자 중 중복 접속자를 체크하여 재접속시에는 정상적인 사이트를 구현하도록 구성되어 있는 것으로 보입니다.

SPG MP3 Recorder 프로그램은 녹음 관련 프로그램으로 프로그램을 실행하였을 경우 [Home Page] 버튼을 통해 제작사 사이트로 접속이 가능하며, 접속을 시도할 경우 그림과 같이 정상적인 사이트가 아닌 가짜 백신 스캔 사이트에서 제공하는 허위 감염 정보를 포함한 정보창을 생성하는 것을 확인할 수 있습니다.

해당 스캔 사이트에서는 정상적인 시스템이 악성코드에 감염되었다는 허위 정보를 출력하여 문제 해결을 위한 악의적인 파일을 다운로드 하도록 구성되어 있습니다.

해당 사이트에서 다운로드된 packupdate_build107_2045.exe (MD5 : 6167df33059a9af0259500133152cd54) 파일을 설치할 경우 My Security Engine이라는 이름으로 설치가 이루어지고 있으며, 현재 Trend Micro 보안 제품에서 TROJ_FRAUD.SMDV (VirusTotal : 8/41) 진단으로 진단되고 있는 것을 확인할 수 있습니다.

해당 가짜 백신이 설치된 환경에서는 호스트(Host) 파일 변조를 비롯한 다양한 악의적인 동작을 통해 정상적인 컴퓨터 사용을 방해하며, 허위 정보를 통해 유료 결제를 유도하는 방식으로 구성되어 있습니다.

위와 같이 특정 검색 사이트에서 제공하는 검색 결과 링크를 통한 가짜 백신 유포 이외에 정상적인 소프트웨어에서 제공하는 사이트 접속시에도 가짜 백신 감염으로 연결될 수 있으므로 매우 주의하시기 바랍니다.