본문 바로가기

벌새::Analysis

바이러스 감염 메시지를 안내하는 가짜 마이크로소프트(MS) 사이트 주의 (2018.6.13)

예전부터 해외 사이트에 접속하여 콘텐츠를 클릭하는 과정에서 웹 페이지 상에서 바이러스 감염 메시지를 표시하여 특정 프로그램 설치를 유도하는 마케팅 사례를 소개한 적이 있었습니다.

 

 

특히 모바일 환경에서 유사한 허위 광고 메시지를 통해 애플리케이션 설치를 유도하는 사례가 현재까지도 심하게 발생하는데, 최근 국내에서 "Win Speedup 2018" 프로그램 설치와 관련된 문의가 있기에 살펴보도록 하겠습니다.

 

 

사용자가 웹 사이트 접속 중 "즉각적인 행동 필요합니다. 당신의 PC에서 트로이 목마 바이러스(e.tre456_worm_Windows)를 탐지했습니다. 리페어 과정을 시작하려면 OK를 누르십시오."라는 한글 메시지가 생성되는 경우가 있습니다.

 

 

메시지가 생성된 페이지를 살펴보면 마치 마이크로소프트(Microsoft) 사이트에서 제공하는 정보처럼 구성되어 있으며, "시스템이 3종의 바이러스에 감염되었습니다."라는 허위 한글 메시지를 통해 피해 예방을 위해 검사하도록 스캔(Scan) 버튼을 제공하고 있습니다.

 

 

이후 연결된 페이지 역시 마이크로소프트(Microsoft) 페이지처럼 구성되어 있으며, "당신의 PC이 심각하게 손상되었습니다! (33.2%) 다음 앱을 다운로드하십시오: PC Cleanup PC에서 3종의 바이러스를 제거하는 애플리케이션"이라는 경고를 통해 감염된 바이러스를 제거하도록 버튼을 제공하고 있습니다.

 

 

실제 연결된 페이지는 Win Speedup 2018 이라는 이름을 가진 PC Repair Tool 다운로드 페이지이며, 우측 상단에는 노턴(Norton)과 McAfee에서 보안 인증이 이루어진 것처럼 표시하고 있습니다.

 

출처 : https://www.malwares.com

 

실제 Win Speedup 2018 다운로드를 진행해보면 아마존(Amazon) CDN 서비스를 통해 파일 다운로드(SHA-1 : 3e07614010ce14a09d7f903d0da47b87e8265c79 - McAfee : Artemis!502C5D337CF9, Norton : Trojan.Gen.2)가 이루어지고 있으며, 특히 McAfee와 Norton 보안 제품에서 진단이 이루어지고 있는 것으로 확인됩니다.

 

출처 : https://www.malwares.com

 

다운로드된 설치 파일에는 유효한 "PC CARE TOOLS" 디지털 서명이 포함되어 있으며, 대체적으로 프로그램 자체보다는 설치 유도를 위한 마케팅 방식이 문제라고 판단됩니다.

 

 

프로그램 설치를 시도해보면 Win ~SpeedUp~2018 프로그램 이름으로 설치가 진행되는 것을 알 수 있습니다.

 

 

또한 설치 중에 "Driver Updater" 프로그램을 제휴 프로그램으로 추가하여 설치를 유도하고 있습니다.

 

 

설치가 완료된 경우 "C:\Program Files\Win ~SpeedUp~2018 for <컴퓨터 이름>" 폴더 경로에 프로그램이 설치되며, 자동 실행되어 검사가 진행되며 다수의 유효하지 않은 레지스트리 값을 탐지하여 수리하도록 음성 안내와 팝업 메시지를 생성할 수 있습니다.

 

 

또한 Windows 부팅 시 프로그램의 자동 실행을 위해 작업 스케줄러에 "Win ~SpeedUp~2018_Logon" 등록값을 추가하여 "C:\Program Files\Win ~SpeedUp~2018 for <컴퓨터 이름>\bpp.exe" startupshow 파일(SHA-1 : 1e7269ccb14c936871eabbfbf43d8ee4cf14e8a4 - ESET : a variant of MSIL/GT32SupportGeeks.M potentially unwanted)을 자동 실행하도록 구성되어 있습니다.

 

 

탐지된 항목에 대한 치료를 위해서는 유료 구매를 요구하며 특히 제품을 구매할 경우 McAfee Internet Security 제품을 무료로 제공한다고 안내하고 있습니다.

 

그런데 Win Speedup 2018 제품의 가격보다 무료로 제공하는 McAfee 백신 프로그램이 2배는 더 비싸다는 점은 아이러니합니다.

 

 

가짜 바이러스 감염 메시지에 속아 사용자의 실수로 Win Speedup 2018 프로그램이 설치된 경우 앱 및 기능에서 제공하는 "Win ~SpeedUp~2018" 제거 목록을 통해 깨끗하게 삭제가 가능하므로 프로그램으로 인한 문제는 없으리라 생각됩니다.

 

단지 해당 프로그램 설치를 목적으로 가짜 마이크로소프트(Microsoft) 웹 사이트에 유사하게 제작된 페이지로 허위 정보를 제공한다는 점에서 속을 수 있으므로 단순히 웹 사이트 접속 중에 바이러스에 감염되었다는 웹 페이지 메시지는 되도록이면 신뢰하지 마시고 접속한 페이지를 닫으시길 권장합니다.

  • 이전 댓글 더보기
  • 안녕하세요, 첫 이미지가 떠서 확인버튼 누르고 <시스템이 3종의 바이러스에 감염되었습니다>화면까지 나왔는데
    설치는 안하고 종료했습니다. 괜찮은건가요??ㅠㅠ 그리고 바이러스는 감염되지 않은게 맞나요??

  • 종이 2018.06.24 22:12 댓글주소 수정/삭제 댓글쓰기

    경고 울려서 식겁했네요.
    프로그램 다운 과정까지 가서 다운 받으려다 순간 이상해서 멈췄습니다.
    이것 저것 클릭한게 찝찝해서 알아보다가 여기까지 오게 되었네요.
    덕분에 안심하고 갑니다.

  • 댓글감사합니다^^ 정말 유용한 글이네요ㅠㅠ 복받으실거예요ㅎㅎ

  • Salt 2018.07.02 01:20 댓글주소 수정/삭제 댓글쓰기

    감사합니다

  • 프로그램을 설치하고 검사까지했는데 ㅠㅠ 어떻게 하나요??ㅎㅎ 그냥 목록 삭제하면 아무 이상 없을까요?

  • 악어 2018.07.04 21:59 댓글주소 수정/삭제 댓글쓰기

    좋은 글 올려주신 덕분에
    피해가 없었습니다.
    정말 감사드립니다!!!

  • ㅇㅅㅇ 2018.07.13 23:20 댓글주소 수정/삭제 댓글쓰기

    모바일에서 뜨는 앱 설치 유도 광고와 비슷한건가 보군요...

  • 너무 당황스러워서 일단 winspeed set up파일까지 받고 설치하려는 중에 급 정신이 돌아와서 인터넷에 검색하다 벌새님 글 봤네요ㅠㅠ
    글 보자마자 바로 캔슬 누르고 다운 받은 파일은 삭제하고 휴지통까지 비웠어요
    감사합니다 벌새님ㅠㅠ

    • 읽어주셔서 고맙습니다.^^

    • dosl503 2018.07.31 23:29 댓글주소 수정/삭제

      저는 중간에 혹시나 해서 핸드폰으로 검색후 둘다 삭제 했고 윈도우 10업그레이드 허고서 다시 v3로 검사후 혹시나 해서 업데이트및 다시시작 이런거 안뜨길래 다시시작후 다 검사하고 제어판이나 뭔드라이브 거기서도 파일이름넣어서 찾아봤는데 없다고 나오고 처음에 떴던 그거도 안나오더라고요 그럼 안전하겠죠??

  • 지나가던 컴맹 2018.07.25 16:09 댓글주소 수정/삭제 댓글쓰기

    이거때문에 초조해 하고 있었는데 감사합니다!
    졸렬한 상술에 무릎을 탁치게 되네요.
    알려주신대로 낚시의 잔재를 지우도록하겠습니다.
    다만 질문이 있는데 제휴 프로그램으로 설치 된
    "Driver Updater" 프로그램도 함께 지워지는 건가요?

  • 쿠쿠티비 라는 곳에서 드라마보다가 저 창이 떠서 얼른찾아보니 다 실행되기전 제어판에서 driver up dater 이랑 winspped set up 그것도 제어판에서 제거 하고 v3로 검사하고 다시 컴퓨터 쳐서 제어판에 검색해보니 안뜨고요 다 지워진거면 로컬디스크 c 파일에서도 검색이 안되면 위에 쓴 2개지워진거 맞죠?? 질문하나 더 할께요 위에 말한거 다 정상적으로 지워지지 않았다고 예를 들자면 안지워지면 v3에서 바이러스 어쩌고 띄는거 맞죠?? 답좀 빨리 주세요 ㅠㅠ

  • 아직 윈도우10재부팅은 안했고 바로 제거후 윈도우 10업그레이드만 했는데요 재부팅도 해야하나요?? 컴퓨터에 대해서 잘 몰라서 여쭈어봅니다 아 다 컴퓨터 검사하고 다시 시작해서 켰는데 혹시 그거 말씀하는건가요?? 계속 물어봐서 너무 죄송해요 ㅠㅠ 재부팅그거 찾아보니 컴퓨터 다시종료하는 뭐 어쩌고...그런거만 나오니 불안해서요 ㅠㅠ 다시 종료후 다시 켰는데 안뜨는데 괜찮은거 맞죠...계속물어보아서 너무 죄송해요 ㅠㅠ

    • 해당 프로그램이 잘 제거되었는지 재부팅 이후에 동작하지 않는 것을 확인할 목적입니다.

      그리고 재부팅이라는 것은 윈도우 종료 후 다시 시작하는 것을 의미합니다.

  • 박정석 2018.08.01 13:59 댓글주소 수정/삭제 댓글쓰기

    이 글에 언급된 저 사기글을 처음 보게 된 것이 유투브에서 동영상 다운 받는 과정에서 처음 보게 되었습니다.
    얼떨결에 프로그램을 일단 설치했다가, 삭제 했는데,

    그 후로 동영상 다운 받는 과정에서 계속적으로 다운을 클릭하면, 다른 텝이 하나 더 열리고, 열린 텝에는 무작위의 홍보 사이트가 나타납니다.

    아직도 동영상을 더 다운 받아야 하는데, 탭 지우기가 무척 귀찮네요.
    해결 방법이 없을까요?

  • Christina 2018.08.01 16:22 댓글주소 수정/삭제 댓글쓰기

    유용한 글 감사드립니다.^^
    저는 아니고 주변에서 저런 창이 최근 뜨나봅니다.
    설치 등은 하지 않았다고 하고요. 저 사이트가 뜨는 경로, 사용 패턴을 알 수 있을까요?
    그리고 한 곳에서 자꾸 저 사이트 창이 뜬다고 합니다. 혹시 추가 조치가 필요한 것은 없는지요?

    • 보통 인터넷 검색을 통해 성인 사이트 등에 접속하는 과정에서 노출될 수 있는 것으로 알고 있습니다.

      저런 사이트로 연결되는 경우에는 현재 접속 중인 사이트 이용을 자제하는게 방법일 듯 합니다.

  • Benjamin 2018.08.06 11:54 댓글주소 수정/삭제 댓글쓰기

    안녕하세요, 좋은 정보 감사드립니다!
    시스템이 3종의 바이러스에 감염되었습니다 화면이랑 스캔까지 하고
    설치는 안했습니다. 괜찮은건가요? 그리고 바이러스 감염 되지 않을까요?

  • 감사합니다 2018.08.09 02:34 댓글주소 수정/삭제 댓글쓰기

    ㅠㅠ오늘 컴퓨터 볼륨 최대로 하고 크롬 들어갔다가 귀가 찢어질듯 한 삐!!!!!소리와 함께 저 창이 뜨더라구요. 너무 놀라서 소리까지 질렀습니다. 바이러스에 정말 감염된 건가 했는데 허위광고였군요.. 똑같은 다운로드 페이지였어요. 아직도 생각하면 소름돋아요... 다운로드를 눌렀지만 크롬에서 자동 차단하더라구요. 안심하고 갑니다! 정보 올려주셔서 너무 감사해요!😭

  • 구름위 2018.08.12 10:48 댓글주소 수정/삭제 댓글쓰기

    저도 저 메세지 떠서 마이크로소프트이길래 스캔까지 했다가 다운로드는 아무래도 찝찝해서 검색해봤더니, 이런 유용한 글을 올려주셨네요. 덕분에 피해를 막을 수 있었습니다. 너무 감사드려서 메세지 남깁니다

  • 호이 2018.08.12 20:02 댓글주소 수정/삭제 댓글쓰기

    스캔까지하고 의심스러워 확인하니 바이러스 창이라는걸 알았어요 근데 파일 확장자명에 .rsoplbeu 붙어서 파일이 안열리는건 감염된건가요ㅠ

  • 으아앙 2018.08.25 23:00 댓글주소 수정/삭제 댓글쓰기

    다운로드가 찝찝해서 검색했다가 들어왔는데 그럼 다운로드 안하고 "지금 스캔"만 한건 괜찮나요?? ㅠㅠ

  • 감사합니다. 아닐거라고 생각은 했지만 삐소리까지 나는 바람에 혹시나 확인차 검색했는데
    전에도 몇번 도움받은 이곳이 나오네요ㅎ 덕분에 안심하고 갑니다^^

  • 지나가다 2018.09.12 03:25 댓글주소 수정/삭제 댓글쓰기

    예전에 이런사이트 차단해달라고 주소를 안랩고객센터로 신고했는데

    어처구니없게 바이러스분석하는곳으로 넘기더니 별다른 조치없이 끝났던 기억이있네요