본문 바로가기

벌새::Analysis

XP AntiSpyware 2009의 고객 관리


해외에서 제작된 허위 보안 제품 중의 하나인 XP AntiSpyware 2009라는 제품이 있습니다.

이 제품은 현재 다양한 도메인을 이용하여 사용자 컴퓨터에 감염을 시키며, 이메일을 통해서도 전 세계를 상대로 공격을 하고 있는 것으로 보입니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.10.17.1 2008.10.17 -
AntiVir 7.9.0.4 2008.10.16 TR/Fakealert.QE
Authentium 5.1.0.4 2008.10.17 W32/Agent.L.gen!Eldorado
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.16 -
BitDefender 7.2 2008.10.17 -
CAT-QuickHeal 9.50 2008.10.17 FraudTool.XPSecurityCenter.ay (Not a Virus)
ClamAV 0.93.1 2008.10.17 -
DrWeb 4.44.0.09170 2008.10.17 -
eSafe 7.0.17.0 2008.10.16 Suspicious File
eTrust-Vet 31.6.6152 2008.10.17 -
Ewido 4.0 2008.10.16 -
F-Prot 4.4.4.56 2008.10.16 W32/Agent.L.gen!Eldorado
F-Secure 8.0.14332.0 2008.10.17 W32/Packed_Upack.A
Fortinet 3.113.0.0 2008.10.17 Misc/Heuri
GData 19 2008.10.17 -
Ikarus T3.1.1.44.0 2008.10.17 Backdoor.Win32.Agent.ahj
K7AntiVirus 7.10.497 2008.10.16 -
Kaspersky 7.0.0.125 2008.10.17 not-a-virus:FraudTool.Win32.XPSecurityCenter.ay
McAfee 5407 2008.10.16 New Malware.aj
Microsoft 1.4005 2008.10.17 TrojanDownloader:Win32/FakeRean.gen!B
NOD32 3530 2008.10.17 a variant of Win32/Adware.XPAntiSpyware.AA
Norman 5.80.02 2008.10.16 W32/Packed_Upack.A
Panda 9.0.0.4 2008.10.16 -
PCTools 4.4.2.0 2008.10.17 Packed/Upack
Prevx1 V2 2008.10.17 -
Rising 20.66.40.00 2008.10.17 -
SecureWeb-Gateway 6.7.6 2008.10.17 Trojan.Fakealert.QE
Sophos 4.34.0 2008.10.17 Mal/Heuri-E
Sunbelt 3.1.1730.1 2008.10.17 Trojan.Win32.Packed.gen (v)
Symantec 10 2008.10.17 -
TheHacker 6.3.1.0.116 2008.10.16 W32/Behav-Heuristic-060
TrendMicro 8.700.0.1004 2008.10.17 PAK_Generic.006
VBA32 3.12.8.7 2008.10.16 -
ViRobot 2008.10.17.1424 2008.10.17 Adware.XPSecurityCenter.R.82886
VirusBuster 4.5.11.0 2008.10.16 Packed/Upack
Additional information
File size: 82886 bytes
MD5...: 8f28bbce82aa197c35c8f222730abcec
SHA1..: d57e83be543062f651f4fa757abe025587c72a50

실제 해당 홈페이지에서 제공하는 설치 파일을 다운로드하여 검사를 해보면 많은 보안제품에서 정식 또는 휴리스틱으로 진단을 하고 있지만, 실제 해당 프로그램이 컴퓨터에 설치된 경우에는 위와 같이 많은 제품이 정확하게 치료하는 경우는 많지 않아 보입니다.

그렇다면 이런 웹 사이트를 개설하고 유포를 하는 이들은 과연 자신들의 이메일을 확인하며 고객 관리를 하고 있는지 확인을 해 보았습니다.

실제 해당 홈페이지에서 제공하는 지원 센터를 통해 이메일로 XP AntiSpyware 2009로 인하여 컴퓨터에 문제가 생겼다는 듯이 문의를 하였습니다.

뜻밖에도 몇 시간 후 문의에 대한 답변 이메일을 받을 수 있었습니다.


답변 이메일에서는 해당 제품을 삭제하기 위한 삭제툴을 지원하는 것처럼 위장을 하여 파일 다운로드 링크를 첨부하고 있습니다.

[remover.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.10.17.1 2008.10.17 -
AntiVir 7.9.0.5 2008.10.17 -
Authentium 5.1.0.4 2008.10.17 -
Avast 4.8.1248.0 2008.10.15 Win32:Lighty
AVG 8.0.0.161 2008.10.17 Downloader.Zlob
BitDefender 7.2 2008.10.17 Packer.Malware.Lighty.I
CAT-QuickHeal 9.50 2008.10.17 -
ClamAV 0.93.1 2008.10.17 Trojan.Agent-55638
DrWeb 4.44.0.09170 2008.10.17 Trojan.Click.19754
eSafe 7.0.17.0 2008.10.16 -
eTrust-Vet 31.6.6153 2008.10.17 -
Ewido 4.0 2008.10.16 -
F-Prot 4.4.4.56 2008.10.16 -
F-Secure 8.0.14332.0 2008.10.17 Trojan-Downloader:W32/Renos.gen
Fortinet 3.113.0.0 2008.10.17 -
GData 19 2008.10.17 Packer.Malware.Lighty.I
Ikarus T3.1.1.44.0 2008.10.17 Virus.Win32.Lighty
K7AntiVirus 7.10.497 2008.10.16 -
Kaspersky 7.0.0.125 2008.10.17 -
McAfee 5407 2008.10.16 Downloader-BKK
Microsoft 1.4005 2008.10.17 Trojan:Win32/Wantvi.I
NOD32 3531 2008.10.17 a variant of Win32/TrojanDownloader.FakeAlert.ME
Norman 5.80.02 2008.10.16 W32/Lighty.D
Panda 9.0.0.4 2008.10.17 -
PCTools 4.4.2.0 2008.10.17 -
Prevx1 V2 2008.10.17 Malicious Software
Rising 20.66.42.00 2008.10.17 -
SecureWeb-Gateway 6.7.6 2008.10.17 -
Sophos 4.34.0 2008.10.17 Mal/Generic-A
Sunbelt 3.1.1730.1 2008.10.17 -
Symantec 10 2008.10.17 -
TheHacker 6.3.1.0.116 2008.10.16 -
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.16 suspected of Win32 Shadow Driver Install
ViRobot 2008.10.17.1425 2008.10.17 -
VirusBuster 4.5.11.0 2008.10.16 Trojan.DR.Renos.ATB
Additional information
File size: 11264 bytes
MD5...: 630751bb3e8f0a5228601ca25b4d830c
SHA1..: 834f03b3d131db1e459f3a039ce11ac9e27c23fd

진단명으로 추정해 보면 허위 보안 제품을 다운로드하는 파일로 삭제툴이 아님을 알 수 있습니다.

단순히 해당 프로그램 유포자는 꼼꼼하게 이메일까지 확인하며 열심히 지금도 전 세계를 상대로 돈벌이를 하고 있으며, 해당 이메일에서 제공하는 사이트는 러시아 서버를 이용하지만 등록자가 미국식 이름을 사용하는 것으로 보아 미국 쪽에서 제작된 것이 아닌가 추정됩니다.

최근 네이버 지식인 글 중에서 이와 같은 해외 허위 보안 제품 다운로드를 보고 무료 제품이라는 말에 넘어가 설치를 하였다가 삭제를 하지 못해 고생하는 글을 보았습니다.

국내에서도 무료 보안 제품에 대한 이미지가 강하다보니 공짜면 일단 설치해 보자라는 식의 보안 마인드도 한몫하는 것이 아닌가 생각됩니다.