728x90
반응형
해외에서 제작된 허위 보안 제품 중의 하나인 XP AntiSpyware 2009라는 제품이 있습니다.
이 제품은 현재 다양한 도메인을 이용하여 사용자 컴퓨터에 감염을 시키며, 이메일을 통해서도 전 세계를 상대로 공격을 하고 있는 것으로 보입니다.
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2008.10.17.1 | 2008.10.17 | - |
| AntiVir | 7.9.0.4 | 2008.10.16 | TR/Fakealert.QE |
| Authentium | 5.1.0.4 | 2008.10.17 | W32/Agent.L.gen!Eldorado |
| Avast | 4.8.1248.0 | 2008.10.15 | - |
| AVG | 8.0.0.161 | 2008.10.16 | - |
| BitDefender | 7.2 | 2008.10.17 | - |
| CAT-QuickHeal | 9.50 | 2008.10.17 | FraudTool.XPSecurityCenter.ay (Not a Virus) |
| ClamAV | 0.93.1 | 2008.10.17 | - |
| DrWeb | 4.44.0.09170 | 2008.10.17 | - |
| eSafe | 7.0.17.0 | 2008.10.16 | Suspicious File |
| eTrust-Vet | 31.6.6152 | 2008.10.17 | - |
| Ewido | 4.0 | 2008.10.16 | - |
| F-Prot | 4.4.4.56 | 2008.10.16 | W32/Agent.L.gen!Eldorado |
| F-Secure | 8.0.14332.0 | 2008.10.17 | W32/Packed_Upack.A |
| Fortinet | 3.113.0.0 | 2008.10.17 | Misc/Heuri |
| GData | 19 | 2008.10.17 | - |
| Ikarus | T3.1.1.44.0 | 2008.10.17 | Backdoor.Win32.Agent.ahj |
| K7AntiVirus | 7.10.497 | 2008.10.16 | - |
| Kaspersky | 7.0.0.125 | 2008.10.17 | not-a-virus:FraudTool.Win32.XPSecurityCenter.ay |
| McAfee | 5407 | 2008.10.16 | New Malware.aj |
| Microsoft | 1.4005 | 2008.10.17 | TrojanDownloader:Win32/FakeRean.gen!B |
| NOD32 | 3530 | 2008.10.17 | a variant of Win32/Adware.XPAntiSpyware.AA |
| Norman | 5.80.02 | 2008.10.16 | W32/Packed_Upack.A |
| Panda | 9.0.0.4 | 2008.10.16 | - |
| PCTools | 4.4.2.0 | 2008.10.17 | Packed/Upack |
| Prevx1 | V2 | 2008.10.17 | - |
| Rising | 20.66.40.00 | 2008.10.17 | - |
| SecureWeb-Gateway | 6.7.6 | 2008.10.17 | Trojan.Fakealert.QE |
| Sophos | 4.34.0 | 2008.10.17 | Mal/Heuri-E |
| Sunbelt | 3.1.1730.1 | 2008.10.17 | Trojan.Win32.Packed.gen (v) |
| Symantec | 10 | 2008.10.17 | - |
| TheHacker | 6.3.1.0.116 | 2008.10.16 | W32/Behav-Heuristic-060 |
| TrendMicro | 8.700.0.1004 | 2008.10.17 | PAK_Generic.006 |
| VBA32 | 3.12.8.7 | 2008.10.16 | - |
| ViRobot | 2008.10.17.1424 | 2008.10.17 | Adware.XPSecurityCenter.R.82886 |
| VirusBuster | 4.5.11.0 | 2008.10.16 | Packed/Upack |
| Additional information | |||
| File size: 82886 bytes | |||
| MD5...: 8f28bbce82aa197c35c8f222730abcec | |||
| SHA1..: d57e83be543062f651f4fa757abe025587c72a50 | |||
실제 해당 홈페이지에서 제공하는 설치 파일을 다운로드하여 검사를 해보면 많은 보안제품에서 정식 또는 휴리스틱으로 진단을 하고 있지만, 실제 해당 프로그램이 컴퓨터에 설치된 경우에는 위와 같이 많은 제품이 정확하게 치료하는 경우는 많지 않아 보입니다.
그렇다면 이런 웹 사이트를 개설하고 유포를 하는 이들은 과연 자신들의 이메일을 확인하며 고객 관리를 하고 있는지 확인을 해 보았습니다.
실제 해당 홈페이지에서 제공하는 지원 센터를 통해 이메일로 XP AntiSpyware 2009로 인하여 컴퓨터에 문제가 생겼다는 듯이 문의를 하였습니다.
뜻밖에도 몇 시간 후 문의에 대한 답변 이메일을 받을 수 있었습니다.
답변 이메일에서는 해당 제품을 삭제하기 위한 삭제툴을 지원하는 것처럼 위장을 하여 파일 다운로드 링크를 첨부하고 있습니다.
[remover.exe]
진단명으로 추정해 보면 허위 보안 제품을 다운로드하는 파일로 삭제툴이 아님을 알 수 있습니다.
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2008.10.17.1 | 2008.10.17 | - |
| AntiVir | 7.9.0.5 | 2008.10.17 | - |
| Authentium | 5.1.0.4 | 2008.10.17 | - |
| Avast | 4.8.1248.0 | 2008.10.15 | Win32:Lighty |
| AVG | 8.0.0.161 | 2008.10.17 | Downloader.Zlob |
| BitDefender | 7.2 | 2008.10.17 | Packer.Malware.Lighty.I |
| CAT-QuickHeal | 9.50 | 2008.10.17 | - |
| ClamAV | 0.93.1 | 2008.10.17 | Trojan.Agent-55638 |
| DrWeb | 4.44.0.09170 | 2008.10.17 | Trojan.Click.19754 |
| eSafe | 7.0.17.0 | 2008.10.16 | - |
| eTrust-Vet | 31.6.6153 | 2008.10.17 | - |
| Ewido | 4.0 | 2008.10.16 | - |
| F-Prot | 4.4.4.56 | 2008.10.16 | - |
| F-Secure | 8.0.14332.0 | 2008.10.17 | Trojan-Downloader:W32/Renos.gen |
| Fortinet | 3.113.0.0 | 2008.10.17 | - |
| GData | 19 | 2008.10.17 | Packer.Malware.Lighty.I |
| Ikarus | T3.1.1.44.0 | 2008.10.17 | Virus.Win32.Lighty |
| K7AntiVirus | 7.10.497 | 2008.10.16 | - |
| Kaspersky | 7.0.0.125 | 2008.10.17 | - |
| McAfee | 5407 | 2008.10.16 | Downloader-BKK |
| Microsoft | 1.4005 | 2008.10.17 | Trojan:Win32/Wantvi.I |
| NOD32 | 3531 | 2008.10.17 | a variant of Win32/TrojanDownloader.FakeAlert.ME |
| Norman | 5.80.02 | 2008.10.16 | W32/Lighty.D |
| Panda | 9.0.0.4 | 2008.10.17 | - |
| PCTools | 4.4.2.0 | 2008.10.17 | - |
| Prevx1 | V2 | 2008.10.17 | Malicious Software |
| Rising | 20.66.42.00 | 2008.10.17 | - |
| SecureWeb-Gateway | 6.7.6 | 2008.10.17 | - |
| Sophos | 4.34.0 | 2008.10.17 | Mal/Generic-A |
| Sunbelt | 3.1.1730.1 | 2008.10.17 | - |
| Symantec | 10 | 2008.10.17 | - |
| TheHacker | 6.3.1.0.116 | 2008.10.16 | - |
| TrendMicro | 8.700.0.1004 | 2008.10.17 | - |
| VBA32 | 3.12.8.7 | 2008.10.16 | suspected of Win32 Shadow Driver Install |
| ViRobot | 2008.10.17.1425 | 2008.10.17 | - |
| VirusBuster | 4.5.11.0 | 2008.10.16 | Trojan.DR.Renos.ATB |
| Additional information | |||
| File size: 11264 bytes | |||
| MD5...: 630751bb3e8f0a5228601ca25b4d830c | |||
| SHA1..: 834f03b3d131db1e459f3a039ce11ac9e27c23fd | |||
진단명으로 추정해 보면 허위 보안 제품을 다운로드하는 파일로 삭제툴이 아님을 알 수 있습니다.
단순히 해당 프로그램 유포자는 꼼꼼하게 이메일까지 확인하며 열심히 지금도 전 세계를 상대로 돈벌이를 하고 있으며, 해당 이메일에서 제공하는 사이트는 러시아 서버를 이용하지만 등록자가 미국식 이름을 사용하는 것으로 보아 미국 쪽에서 제작된 것이 아닌가 추정됩니다.
최근 네이버 지식인 글 중에서 이와 같은 해외 허위 보안 제품 다운로드를 보고 무료 제품이라는 말에 넘어가 설치를 하였다가 삭제를 하지 못해 고생하는 글을 보았습니다.
국내에서도 무료 보안 제품에 대한 이미지가 강하다보니 공짜면 일단 설치해 보자라는 식의 보안 마인드도 한몫하는 것이 아닌가 생각됩니다.
728x90
반응형