본문 바로가기

벌새::Security

에브리존 터보패치(EveryZone TurboPatch)로 위장한 악성코드 유포 (2011.5.6)

반응형
국내 보안 업체 (주)에브리존에서 공지를 통하여 자사에서 제공하는 보안 패치 관리 프로그램 터보패치(TurboPatch) 설치 파일로 위장한 악성코드가 유포된다는 긴급 공지를 등록하였습니다.

출처 : (주)에브리존

해당 공지 내용을 살펴보면 이메일을 통하여 북한 관련 이슈를 근거로 제공되는 에브리존 터보백신 설치 파일로 위장한 URL 링크를 통해 제공되는 프로그램을 설치하도록 유도하고 있습니다.


실제 URL 표기는 에브리존으로 되어 있지만, 실제로는 미국(USA)에 등록된 67.228.81.181 IP로 연결되어 파일 다운로드가 이루어지는 것으로 추정됩니다.

출처 : 안철수연구소(AhnLab)

흥미로운 점은 이미 해당 악성코드 유포와 관련하여 2011년 1월 중순경에 동일한 이메일을 통해 악성코드 유포 행위가 있었던 것으로 안철수연구소(AhnLab) ASEC 리포트 2011년 1월호(링크 : 2011년 1월호 PDF 문서)를 통해 확인할 수 있었습니다.


해당 보고서를 읽어보면 당시 에브리존 터보패치 설치 파일이 변조가 되어 악성코드 유포가 이루어진 것으로 추정되며, 현재까지 유사한 이메일을 통해 계속적인 유포가 이루어지는 것이 아닌가 생각됩니다.

그러므로 비록 보안 업체 URL 링크가 포함되어 있더라도 신뢰할 수 없는 이메일의 경우에는 함부로 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.
반응형
  • 2011.05.06 22:17 댓글주소 수정/삭제 댓글쓰기

    위험한 링크를 그냥 공개하는군요..ㅠ
    보안업체에서 저런곳도 안가리다니..;;

    다운받아서 바토 돌려보니 진단하는곳이 2곳뿐이군요.
    노턴은 인사이트로 잡아서 삭제시시고..

    http://www.virustotal.com/file-scan/report.html?id=ae3f2abd7d6b3fb10d619d3fee939010129cbf69eb059c33dbd0dc81dae09083-1304687574

    • 원래 저 링크는 정상적인 해당 업체 경로입니다.

      하지만 안랩 정보를 보면 이전에 해킹된 것으로 보이는데, 지금도 의심 진단이 있군요.

      링크 자체를 가릴 이유는 없어 보입니다. 어차피 실제 해당 이메일 링크를 클릭하면 다른 경로를 통해 다운이 되었을 것 같습니다.

      예전에는 안그랬을 수도 있고.. 흠~~^^;;

  • 111111 2011.05.06 23:07 댓글주소 수정/삭제 댓글쓰기

    이상하군요.
    터보패치라는 위 프로그램을 설치하고 결제페이지를 열면
    http://www.everyzone.com/buy/patch_buy/mobile/ready.asp?eid=C77344A31453A34453A39323A33403A30303C71403643364144313&settle=mobile&paychk=auto&PayMode=2auto
    이런링크가 열리네요.

  • 1111 2011.05.06 23:58 댓글주소 수정/삭제 댓글쓰기

    노이즈홍보인가.
    암튼 자동결제창보니 이업체도 정내미가 뚝 떨어지는군요.