본문 바로가기

벌새::Analysis

Windows Antivirus 2008

반응형
사용자 삽입 이미지

작년까지만 해도 국내에서도 보안제품인 양 제품을 구성하여 사용자 컴퓨터에 프로그램을 설치하고 허위 정보를 통해 결제를 요구하는 제품들이 무수히 많았습니다. 물론 현재에도 수십개의 제품들이 국내에서 활동하고 있는 것으로 보입니다.

해외에서는 작년과 별 차이없이 여전히 수많은 허위 보안제품들이 시시각각 변종을 만들어 내면서 사용자의 금전을 노리고 있습니다.

위와 같이 특정 웹사이트에 접속을 하시면 마치 IE가 제대로 구현하지 못하는 것처럼 속이는 화면과 함께 컴퓨터 감염으로 인한 문제이므로 해당 사이트에서 제공하는 보안제품 Windows Antivirus 2008을 설치할 것을 권하고 있습니다.

해당 악성코드는 제품명에서 보시는 것처럼 2008년을 강조하여 앞으로도 2009 버전 등이 추가로 만들어질 위험성이 있습니다.

사용자 삽입 이미지
실제 해당 파일을 다운로드 하면 위의 파일을 받을 수 있습니다.

[WAV2008Setup.exe]
Antivirus Version Last Update Result
AhnLab-V3 2008.7.24.0 2008.07.23 -
AntiVir 7.8.1.11 2008.07.23 -
Authentium 5.1.0.4 2008.07.23 -
Avast 4.8.1195.0 2008.07.23 Win32:FakeAV-M
AVG 8.0.0.130 2008.07.23 FakeAlert.AN

BitDefender 7.2 2008.07.23 -
CAT-QuickHeal 9.50 2008.07.22 -
ClamAV 0.93.1 2008.07.23 Adware.Brasen-2
DrWeb 4.44.0.09170 2008.07.23 Trojan.Fakealert.884

eSafe 7.0.17.0 2008.07.23 Suspicious File
eTrust-Vet 31.6.5976 2008.07.23 -
Ewido 4.0 2008.07.23 -
F-Prot 4.4.4.56 2008.07.22 -
F-Secure 7.60.13501.0 2008.07.23 FraudTool.Win32.UltimateAntivirus.aa
Fortinet 3.14.0.0 2008.07.23 Fakewa!tr
GData 2.0.7306.1023 2008.07.23 Win32:FakeAV-M
Ikarus T3.1.1.34.0 2008.07.23 not-a-virus:FraudTool.Win32.WinAntiVirus.k
Kaspersky 7.0.0.125 2008.07.23 not-a-virus:FraudTool.Win32.UltimateAntivirus.aa
McAfee 5344 2008.07.22 -
Microsoft 1.3704 2008.07.23 -
NOD32v2 3292 2008.07.23 a variant of Win32/Adware.Antivirus2008
Norman 5.80.02 2008.07.23 -
Panda 9.0.0.4 2008.07.23 Suspicious file
PCTools 4.4.2.0 2008.07.23 -
Prevx1 V2 2008.07.23 -
Rising 20.54.22.00 2008.07.23 -
Sophos 4.31.0 2008.07.23 Troj/Fakewa-Gen
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.23 -
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.23 -
VBA32 3.12.8.1 2008.07.23 -
VIRobot 2008.7.23.1307 2008.07.23 -
VirusBuster 4.5.11.0 2008.07.23 -
Webwasher-Gateway 6.6.2 2008.07.23 Win32.Malware.gen (suspicious)
Additional information
File size: 898556 bytes
MD5...: 2e548760f573c0d578297aaf5e1747da
SHA1..: dd9a253b2cacf763667ef41a2d27d16abdd93ee6
SHA256: c12431deab80d270ae5bf8487f46d5b39258e5f071eaabab0b09dc1484b4b5e6
SHA512: 0c0fb427bba9b863f2ad92ed556989828f21b243419a807afbc3939c937b11e9
b9006ec94e597216f988a04cdcf36827c9eec164c83e248e7b25ade3a2be603f

해당 악성코드는 세계적으로 유명한데 이상하게 보안제품에서 제대로 진단하지 못하는 것으로 보입니다.

이유는 악성코드가 보안제품의 실시간 감시를 우회하기 위해 Packer 압축을 하기 때문입니다.

일반적인 컴퓨터 사용자가 파일을 다운로드할 때 실시간 감시에서 진단되지 않으면 의심하지 않고 해당 파일을 실행하는 경향이 있습니다.

사용자 삽입 이미지

위와 같이 다운로드한 파일은 반드시 보안 제품 수동검사(마우스 우클릭 검사)를 통해 진단 여부를 재확인하는 습관을 가지시기 바랍니다.

그러면 해당 파일을 조금 더 뜯어보겠습니다.

사용자 삽입 이미지

실제 실행 파일의 압축을 풀어보면 위와 같은 파일로 구성되어 있습니다.

[wav.exe]
Antivirus Version Last Update Result
AhnLab-V3 2008.7.24.0 2008.07.23 (SpyZero) Win-Adware/Rogue.AntiVirus2008.325632
AntiVir 7.8.1.11 2008.07.23 -
Authentium 5.1.0.4 2008.07.23 -
Avast 4.8.1195.0 2008.07.23 Win32:Trojan-gen {Other}
AVG 8.0.0.130 2008.07.23 FakeAlert.AO

BitDefender 7.2 2008.07.23 -
CAT-QuickHeal 9.50 2008.07.22 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.07.23 -
DrWeb 4.44.0.09170 2008.07.23 Trojan.Fakealert.1045
eSafe 7.0.17.0 2008.07.23 -
eTrust-Vet 31.6.5975 2008.07.22 -
Ewido 4.0 2008.07.23 -
F-Prot 4.4.4.56 2008.07.22 -
F-Secure 7.60.13501.0 2008.07.23 FraudTool.Win32.UltimateAntivirus.ad
Fortinet 3.14.0.0 2008.07.23 Misc/UltimateAntivirus
GData 2.0.7306.1023 2008.07.23 Win32:Trojan-gen 
Ikarus T3.1.1.34.0 2008.07.23 Generic.Trojan.FakeAV.I
Kaspersky 7.0.0.125 2008.07.23 not-a-virus:FraudTool.Win32.UltimateAntivirus.ad
McAfee 5344 2008.07.22 -
Microsoft 1.3704 2008.07.23 Program:Win32/Antivirus2008
NOD32v2 3292 2008.07.23 a variant of Win32/Adware.Antivirus2008

Norman 5.80.02 2008.07.23 -
Panda 9.0.0.4 2008.07.23 Suspicious file
PCTools 4.4.2.0 2008.07.23 -
Prevx1 V2 2008.07.23 Worm
Rising 20.54.22.00 2008.07.23 -
Sophos 4.31.0 2008.07.23 Troj/Fakewa-Gen
Sunbelt 3.1.1536.1 2008.07.18 VIPRE.Suspicious
Symantec 10 2008.07.23 -
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.23 -
VBA32 3.12.8.1 2008.07.23 -
VIRobot 2008.7.23.1307 2008.07.23 -
VirusBuster 4.5.11.0 2008.07.23 -
Webwasher-Gateway 6.6.2 2008.07.23 Win32.Malware.gen (suspicious)
Additional information
File size: 325632 bytes
MD5...: 445ea659ac13386e30cc54173f11e90d
SHA1..: c25a1ca4a7b331a6591567b948d13b50d56be3b7
SHA256: ef8a2cd5588ff660eab2d90661f762ce07feb19ee32d6ef05a37edd0c002f2df
SHA512: 80c22c595f71f2d2a4037b481159817947eed943bd3c494237e9dd61e2feda0b
83ab5db8abf679b198f597a3bce2f9589419d643c30b75cae6ce2e00a1de8ea8

[wav.cpl]
Antivirus Version Last Update Result
AhnLab-V3 2008.7.24.0 2008.07.23 (SpyZero) Win-Adware/Rogue.AntiVirus2008.117248.B
AntiVir 7.8.1.11 2008.07.23 -
Authentium 5.1.0.4 2008.07.23 -
Avast 4.8.1195.0 2008.07.23 Win32:FakeAV-M
AVG 8.0.0.130 2008.07.23 FakeAlert.AN

BitDefender 7.2 2008.07.23 -
CAT-QuickHeal 9.50 2008.07.22 -
ClamAV 0.93.1 2008.07.23 -
DrWeb 4.44.0.09170 2008.07.23 Trojan.Fakealert.884
eSafe 7.0.17.0 2008.07.23 Suspicious File
eTrust-Vet 31.6.5976 2008.07.23 -
Ewido 4.0 2008.07.23 -
F-Prot 4.4.4.56 2008.07.22 -
F-Secure 7.60.13501.0 2008.07.23 FraudTool.Win32.UltimateAntivirus.aa
Fortinet 3.14.0.0 2008.07.23 Fakewa!tr
GData 2.0.7306.1023 2008.07.23 Win32:FakeAV-M
Ikarus T3.1.1.34.0 2008.07.23 Virus.Win32.FakeAV.M
Kaspersky 7.0.0.125 2008.07.23 not-a-virus:FraudTool.Win32.UltimateAntivirus.aa

McAfee 5344 2008.07.22 -
Microsoft 1.3704 2008.07.23 Program:Win32/Antivirus2008
NOD32v2 3292 2008.07.23 -
Norman 5.80.02 2008.07.23 -
Panda 9.0.0.4 2008.07.23 -
PCTools 4.4.2.0 2008.07.23 -
Prevx1 V2 2008.07.23 Worm
Rising 20.54.22.00 2008.07.23 -
Sophos 4.31.0 2008.07.23 Troj/Fakewa-Gen
Sunbelt 3.1.1536.1 2008.07.18 VIPRE.Suspicious
Symantec 10 2008.07.23 -
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.23 -
VBA32 3.12.8.1 2008.07.23 -
VIRobot 2008.7.23.1307 2008.07.23 -
VirusBuster 4.5.11.0 2008.07.23 -
Webwasher-Gateway 6.6.2 2008.07.23 Win32.Malware.gen (suspicious)
Additional information
File size: 117248 bytes
MD5...: c8f6f4446fc95ea2e5a377d8e697b317
SHA1..: d186ce9d693bf55fe3b48b8a09fe33ed14f2c25f
SHA256: b76a2b855fd0e9de25f421c6b9ba57cb149d443a863263b98c90f3a3e1889a85
SHA512: 5c80f8a63adfeff2e95071106f96732e074d53f8cf7cf24df01e787b75a12191
baa56c267b5bb3dbdbf3c26892cf96e86144127933edabbe511cd241e1b37976

안철수연구소의 SpyZero 제품에서 Packer를 풀었을 경우에 진단하는 것을 확인할 수 있었습니다. 즉 실행파일 자체는 진단하지 못하지만 실제 해당 파일을 설치하려고 시도하면 스파이제로에서 차단을 하여 파일 자체가 설치되지 못한다는 말입니다.

해외 사이트 뿐만 아니라 국내 사이트 게시판을 통해 유포가 활발하게 이루어지는 이런 류의 해외 허위 보안제품에 감염되지 않도록 주의하시기 바랍니다.
728x90
반응형