본문 바로가기

벌새::Analysis

Messenger 서비스를 이용한 허위 제품 유포

반응형

네이버 지식인 관련 질문을 보던 중 최근에 아직도 Windows XP 초창기에 유행하던 Messenger 서비스를 이용한 메시지를 통해 허위 제품을 유포하는 경우를 확인할 수 있었습니다.

해당 스크린 샷을 보면 컴퓨터를 포멧하고 새롭게 윈도우를 설치하는 과정에서 서비스 팩 패치 등이 전혀 적용이 되지 않은 Windows XP 운영 체제 환경에서 각종 드라이버를 설치하던 중에 알림창을 수신한 것으로 보입니다.

먼저 위와 같은 메신저 서비스 알림창을 보지 않기 위해서는 사용자가 수동으로 [제어판 - 관리 도구 - 서비스 - Messenger] 항목에서 다음과 같이 설정하시면 해결이 됩니다.

Messenger 항목을 찾아서 마우스 더블 클릭을 하시면 Messenger 속성창이 생성됩니다.

속성창에서 [시작 유형 - 사용 안 함]으로 설정을 하시면 앞으로 메신저 서비스 알림창 생성이 중지되므로 더 이상의 알림창은 보지 않게 됩니다.

실제 메신저 서비스 알림창에서 제시하는 웹 사이트를 방문해 보았습니다.

사용자 컴퓨터의 레지스트리를 최적화해 준다는 명목으로 프로그램을 다운로드하여 설치를 유도하고 있습니다.

국내에서는 허위 레지스트리 최적화 프로그램을 아직 보지는 못하였지만, 해외에는 다수의 허위 제품을 이용하여 금전적 피해를 야기하는 것으로 보입니다.

[Repair_Registry_Pro.exe] - 실제 다운로드 설치 파일

Antivirus Version Last Update Result
AhnLab-V3 2008.10.10.1 2008.10.10 -
AntiVir 7.8.1.34 2008.10.10 -
Authentium 5.1.0.4 2008.10.10 -
Avast 4.8.1248.0 2008.10.09 -
AVG 8.0.0.161 2008.10.10 -
BitDefender 7.2 2008.10.10 Dropped:Application.RepairRegistryPro.A
CAT-QuickHeal 9.50 2008.10.10 -
ClamAV 0.93.1 2008.10.10 -
DrWeb 4.44.0.09170 2008.10.10 -
eSafe 7.0.17.0 2008.10.08 -
eTrust-Vet 31.6.6139 2008.10.09 -
Ewido 4.0 2008.10.10 -
F-Prot 4.4.4.56 2008.10.10 -
F-Secure 8.0.14332.0 2008.10.10 Rogue:W32/RepairRegistryPro.A
Fortinet 3.113.0.0 2008.10.10 -
GData 19 2008.10.10 Dropped:Application.RepairRegistryPro.A
Ikarus T3.1.1.34.0 2008.10.10 Win32.SuspectCrc
K7AntiVirus 7.10.489 2008.10.09 -
Kaspersky 7.0.0.125 2008.10.10 -
McAfee 5402 2008.10.09 -
Microsoft 1.4005 2008.10.10 -
NOD32 3511 2008.10.10 -
Norman 5.80.02 2008.10.10 -
Panda 9.0.0.4 2008.10.10 -
PCTools 4.4.2.0 2008.10.09 -
Prevx1 V2 2008.10.10 -
Rising 20.65.42.00 2008.10.10 -
SecureWeb-Gateway 6.7.6 2008.10.10 -
Sophos 4.34.0 2008.10.10 -
Sunbelt 3.1.1708.1 2008.10.10 -
Symantec 10 2008.10.10 -
TheHacker 6.3.1.0.105 2008.10.10 -
TrendMicro 8.700.0.1004 2008.10.10 -
VBA32 3.12.8.6 2008.10.09 -
ViRobot 2008.10.10.1416 2008.10.10 -
VirusBuster 4.5.11.0 2008.10.09 -
Additional information
File size: 343625 bytes
MD5...: 216638c6a8c6f4e9b8c3b92c047015c8
SHA1..: 16fd14d60f6611e27d0b1303d3939a42af16c104

[RepairRegistryPro.exe] - 설치 파일의 Packer로 진단 못하는 부분이 있어 Packer 해제 후 추출한 파일

Antivirus Version Last Update Result
AhnLab-V3 2008.10.10.1 2008.10.10 -
AntiVir 7.8.1.34 2008.10.10 TR/Fraud.RegRepPro
Authentium 5.1.0.4 2008.10.10 -
Avast 4.8.1248.0 2008.10.09 -
AVG 8.0.0.161 2008.10.10 -
BitDefender 7.2 2008.10.10 Application.RepairRegistryPro.A
CAT-QuickHeal 9.50 2008.10.10 FraudTool.FakeAlert.j (Not a Virus)
ClamAV 0.93.1 2008.10.10 -
DrWeb 4.44.0.09170 2008.10.10 -
eSafe 7.0.17.0 2008.10.08 -
eTrust-Vet 31.6.6137 2008.10.09 -
Ewido 4.0 2008.10.10 -
F-Prot 4.4.4.56 2008.10.10 -
F-Secure 8.0.14332.0 2008.10.10 Rogue:W32/RepairRegistryPro.A
Fortinet 3.113.0.0 2008.10.10 -
GData 19 2008.10.10 Application.RepairRegistryPro.A
Ikarus T3.1.1.34.0 2008.10.10 Win32.SuspectCrc
K7AntiVirus 7.10.489 2008.10.09 -
Kaspersky 7.0.0.125 2008.10.10 -
McAfee 5402 2008.10.09 -
Microsoft 1.4005 2008.10.10 Program:Win32/FakeAlert.J
NOD32 3511 2008.10.10 -
Norman 5.80.02 2008.10.10 -
Panda 9.0.0.4 2008.10.10 -
PCTools 4.4.2.0 2008.10.09 -
Prevx1 V2 2008.10.10 Malicious Software
Rising 20.65.42.00 2008.10.10 -
SecureWeb-Gateway 6.7.6 2008.10.10 Trojan.Fraud.RegRepPro
Sophos 4.34.0 2008.10.10 -
Sunbelt 3.1.1708.1 2008.10.10 -
Symantec 10 2008.10.10 -
TheHacker 6.3.1.0.105 2008.10.10 -
TrendMicro 8.700.0.1004 2008.10.10 -
VBA32 3.12.8.6 2008.10.09 -
ViRobot 2008.10.10.1416 2008.10.10 -
VirusBuster 4.5.11.0 2008.10.09 -
Additional information
File size: 1802240 bytes
MD5...: 035d4f0c3669d1a0c3a7a7bed332f55a
SHA1..: ff19801f2ad1df6d95072a4d8e132de69370a94d


위와 같은 메신저 서비스 알림창의 경우는 사용하는 운영 체제의 보안 패치를 적용하지 않음으로 인해 야기된 부분이므로 반드시 윈도우를 새로 설치하시는 분들은 인터넷 연결 전에 서비스 팩을 따로 시디에 복사하여 설치하신 후 인터넷을 연결하는 습관을 가지는 것이 좋으리라 봅니다.

위의 홍보 방식은 상당히 고전적이지만 제대로 이해하지 못하는 사용자의 경우 자신의 컴퓨터가 심한 문제가 있는 것으로 착각할 수 있으므로 여전히 유용하며 전 세계 어디나 전달할 수 있는 방식이 아닐까 생각됩니다.


반응형