본문 바로가기

벌새::Analysis

해외 가짜 백신 : Security Shield

반응형

최근 악성 URL 주소를 포함한 이메일을 통하여 해외 가짜 백신 Security Shield가 국내에 유포되고 있다는 소식입니다.

 

 

대략적인 유포 경로는 특정 org 도메인 주소로 위장한 링크가 포함된 이메일을 통해 사용자가 링크를 클릭할 경우, 루마니아에 등록된 IP 주소로 납치되어 허위 스캔 화면을 제시하여 악성 파일을 다운로드하도록 유도하고 있습니다.

 

 

실제 이메일에서 제시되는 URL 링크를 클릭할 경우 그림과 같은 사용자 컴퓨터에서 의심스러운 프로그램이 발견되었다는 웹 페이지 메시지가 노출되어 확인 버튼을 클릭하도록 구성되어 있습니다.

 

 

참고로 해당 웹 메시지가 노출되어 허위 스캔 화면으로 연결되는 과정에서 알약(ALYac) 2.0 Sophos 엔진에서는 Mal/FakeAvJs-A 진단명으로 차단을 하는 것을 확인할 수 있습니다. 

 

 

해당 허위 스캔 화면은 사용자 OS, 웹 브라우저 환경에 따라 다르게 표시가 될 수 있으며, 테스트에서는 Windows 7, Internet Explorer 9 환경에서 제시되는 모습입니다.

 

 

허위 검사를 통해 사용자 PC가 감염된 것으로 표시하여 Windows Security Alert 화면을 제시하여 진단된 항목에 대한 제거를 위해서는 Remove all 버튼을 클릭하도록 유도하고 있습니다.

 

 

참고로 사용자가 다운로드를 하지 않고 웹 브라우저를 닫으려고 할 경우 웹 페이지 메시지를 통해 감염으로 인한 데이터 손실이 발생할 수 있다며 경고를 하는 메시지를 확인할 수 있습니다.

 

 

  1. MD5 : 1a8eee46c22292d5b1c6ae839873949b
  2. MD5 : 416752054b764ef31f0ce335a042cb1a
  3. MD5 : e043830c2b8b783602d74fd9fbc3aee2
  4. MD5 : fb6e031060f69e69dd6d0c185288262f
  5. MD5 : a5d3548927a3901c572f8a8f3280f1d0
다운로드된 파일(pack.exe)은 매 다운로드시마다 MD5 해쉬값이 변경되는 것을 확인할 수 있으며, 현재 Sophos 보안 제품에서는 Mal/FakeAV-KL (VirusTotal : 5/42) 진단명으로 진단되고 있습니다.

 

 

해당 악성 파일을 사용자가 실행할 경우 자동으로 설치가 이루어진 후 Security Shield 프로그램이 설치되었다는 메시지가 노출됩니다.

[생성 폴더 / 파일 등록 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\pebhm.exe
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Security Shield.lnk

※ pebhm.exe 파일은 Random 영문 실행 파일로 5~7자리 영문으로 구성될 것으로 추정됩니다.(구분 방법은 실행 파일의 아이콘 모양과 동일)

※ pebhm.exe (MD5 : 1a8eee46c22292d5b1c6ae839873949b)
 - Sophos : Mal/FakeAV-KL (VirusTotal : 5/42)

 

Security Shield 프로그램은 자동으로 실행되어 사용자 PC를 검사하는 동작을 통해 다수의 악성코드에 감염된 것처럼 허위 진단을 합니다.

 

 

진단된 항목에 대하여 경고창과 함께 위험요소를 제거하기 위해 버튼을 클릭할 경우 Security Shield 프로그램 활성화를 유도합니다.

 

 

최종적으로 그림과 같은 Security Shield 프로그램 결제창을 생성하여 $79.95를 결제하도록 유도하고 있습니다.

 

 

만약 결제를 하지 않을 경우 주기적으로 시스템 트레이 하단에서 Security Shield Warning 풍선창을 통한 경고 등 정상적인 PC 사용을 방해하도록 구성되어 있으며, Windows 시작시마다 자동 실행되어 허위 진단을 통한 결제를 유도합니다.

해당 Security Shield 가짜 백신은 다행히 시스템 실행을 방해하는 동작이 없으므로, 수동으로 문제를 해결하기 위해서는 작업 관리자에서 pebhm.exe 프로세스를 수동으로 종료한 후, 해당 파일을 찾아 제거를 하시면 됩니다.

이번 사례와 같이 해외 가짜 백신 유포 방식 중에는 사용자가 허위 스캔 화면에서 제공하는 악성 파일을 직접 다운로드하여 실행해야지 감염되는 경우가 있는 반면, 다양한 취약점을 이용한 악성 스크립트를 이용한 자동 감염 방식이 존재하므로 반드시 윈도우, Adobe Flash Player, Adobe Reader 등 보안 패치를 꾸준히 체크하여 설치하는 습관이 중요하겠습니다.
728x90
반응형
  • pinkjn 2011.05.13 02:49 댓글주소 수정/삭제 댓글쓰기

    저도 지금 방금 이거 깔려서 완전 고생했어요 ㅠㅠ

    이거 깔리니까 다 안돼서

    인터넷 안전모드로 재부팅해서

    시스템 복원해서, 지금 안철수부터 해서 알약까지 다 업데이트 해놨는데 ㅠㅠ

    이제 정말 제대로 검사해야겠어요..

    이정보들 정말 유익한데.. 까페로 퍼가도 될까요??

    물론 출처는 밝히구요~^^