본문 바로가기

벌새::Analysis

트위터(Twitter)를 이용한 해외 가짜 백신 Anti-Virus Elite 2010 유포 주의 (2010.6.6)

반응형
해외 SNS 서비스 트위터(Twitter)를 통해 해외에서 제작된 가짜 백신(Fake AV) Anti-Virus Elite 2010 프로그램이 유포되는 것을 확인하였습니다.

기본적으로 유포 방식은 불특정 다수를 상대로 Following을 등록하여 자신의 Twitter 계정으로 유도하여 악성 사이트로 유도하는 방식입니다.


그런데 단순히 악성 링크만 포함하는 것이 아닌 정상적인 Twitter로 위장하기 위해 정보성 링크도 포함하고 있는 부분이 있는 다소 지능적 형태가 아닌가 생각됩니다.


악성코드로부터 사용자 컴퓨터를 보호하기 위해 Anti-Virus Elite 2010 프로그램을 사용하라는 악성 링크에 접속하면 그림과 같은 다운로드 사이트로 연결이 되도록 구성되어 있습니다.

MD5 : 27b002ee170c751d14e030dacbb52b9f


다운로드된 Anti-Virus Elite 2010 설치 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.Rogue (VirusTotal : 12/41) 진단명으로 진단하고 있으며, 해외 가짜 백신 NoAdware 변종으로 추정됩니다.


실제 Anti-Virus Elite 2010(Anti-Virus Elite v5.0) 프로그램의 동작을 보면 매우 조악한 UI 구성과 함께, 국내 악성코드 치료 프로그램에서 볼 수 있는 허위 진단과 트래킹쿠키(TrackingCookie) 파일 진단을 통해 유료 결제를 유도하고 있습니다.


그 외에도 해당 Twitter 계정에서는 마치 Symantec Norton 제품 분위기를 풍기는 MicroAntiVirus 페이지 등 다수의 악성 프로그램을 연결하는 링크가 포함되어 있으므로, 해외 사용자가 Following을 하였을 경우 주의하시기 바랍니다.
반응형