울지않는벌새 : Security, Movie & Society

허위 바이러스 감염 메시지를 이용한 해외 제휴 프로그램 설치 주의 (2015.9.28)

벌새::Security

모바일 환경에서 광고 스크립트가 포함된 웹 사이트를 방문하는 과정에서 다양한 허위 광고 메시지를 통해 애플리케이션 설치를 유도하는 사례가 발견되고 있다는 내용을 소개한 적이 있었습니다.

그런데 최근 PC 환경에서 웹 사이트 방문시 유사한 패턴을 가진 허위 바이러스 감염 메시지로 인하여 제휴 프로그램을 설치하는 사례가 증가하고 있는 부분을 확인하였습니다.

허위 바이러스 감염 메시지(한글)

허위 바이러스 감염 메시지(영어)

특히 한글화된 허위 바이러스 감염 메시지(안티 바이러스 애플리케이션을 다운로드하여 장치에서 Tapsnake를 제거합니다.) 또는 영문으로 표시된 허위 바이러스 감염 메시지(Your computer could be at risk from harmful viruses and malware; these programs are often installed on your computer without your knowledge whilst browsing adult or torrent related websites. Intall Reimage to keep your computer secure.)를 이용하여 표시된 버튼을 클릭하도록 유도하고 있습니다.

대표적으로 연결되는 웹 페이지에서는 "Reimage Limited" 디지털 서명이 포함된 "Reimage Repair" PC 점검 프로그램(SHA-1 : 897152b289e07d4178b3a7ba51ddc272ff823275) 설치를 통해 과도한 진단 결과를 제시하여 유료 결제를 유도하고 있으며, 상당히 정교한 한글화와 마이크로소프트(Microsoft), McAfee, Norton 인증을 통해 신뢰성을 강조하고 있습니다.

 

"Reimage Repair" 프로그램이 설치된 일부 PC 환경에서는 프로그램 삭제시 제어판에 표시되지 않는 문제로 삭제에 어려움을 겪는 사례도 확인되고 있으므로 허위 바이러스 메시지에 속아 프로그램을 설치하는 실수를 하지 않도록 주의하시기 바랍니다.

또 다른 유사 광고 행위를 조사해보면 웹 브라우저를 이용하여 광고 스크립트가 포함된 웹 사이트 접속시 업데이트 관련창을 생성하여 업그레이드를 요구하는 버튼을 클릭하도록 유도하고 있습니다.

메시지를 클릭할 경우 "Mindspark Interactive Network" 디지털 서명이 포함된 SafePCRepair 또는 "SafePCRepair Internet Explorer Toolbar" 프로그램<SHA-1 : a9a96993c7b9632f00a4cc13d6d423dbe64c779d - AhnLab V3 365 Clinic : PUP/Win32.EvdLookup.R163457 (VT : 20/55)> 설치를 유도하는 웹 사이트로 연결이 이루어질 수 있습니다.

 

위와 같은 광고 기능이 포함된 프로그램을 설치할 경우 웹 브라우저 홈 페이지 및 기본 검색 공급자 변경, 지속적이고 반복적인 과도한 진단 결과가 표시된 팝업창 생성을 통한 유료 결제 유도 등의 불편을 유발할 수 있습니다.

 

그러므로 PC 및 모바일을 이용하여 웹 사이트 방문 과정에서 생성된 바이러스 경고창은 실제 사용자 기기가 바이러스에 감염된 것을 의미하는 것이 아닌 허위 광고 메시지라는 사실을 인지하시고 제공되는 프로그램(애플리케이션)을 설치하는 일이 없도록 하시기 바랍니다.