본문 바로가기

벌새::Analysis

바이러스 감염 메시지를 안내하는 가짜 마이크로소프트(MS) 사이트 주의 (2018.6.13)

반응형

예전부터 해외 사이트에 접속하여 콘텐츠를 클릭하는 과정에서 웹 페이지 상에서 바이러스 감염 메시지를 표시하여 특정 프로그램 설치를 유도하는 마케팅 사례를 소개한 적이 있었습니다.

 

특히 모바일 환경에서 유사한 허위 광고 메시지를 통해 애플리케이션 설치를 유도하는 사례가 현재까지도 심하게 발생하는데, 최근 국내에서 "Win Speedup 2018" 프로그램 설치와 관련된 문의가 있기에 살펴보도록 하겠습니다.

 

 

사용자가 웹 사이트 접속 중 "즉각적인 행동 필요합니다. 당신의 PC에서 트로이 목마 바이러스(e.tre456_worm_Windows)를 탐지했습니다. 리페어 과정을 시작하려면 OK를 누르십시오."라는 한글 메시지가 생성되는 경우가 있습니다.

 

 

메시지가 생성된 페이지를 살펴보면 마치 마이크로소프트(Microsoft) 사이트에서 제공하는 정보처럼 구성되어 있으며, "시스템이 3종의 바이러스에 감염되었습니다."라는 허위 한글 메시지를 통해 피해 예방을 위해 검사하도록 스캔(Scan) 버튼을 제공하고 있습니다.

 

 

이후 연결된 페이지 역시 마이크로소프트(Microsoft) 페이지처럼 구성되어 있으며, "당신의 PC이 심각하게 손상되었습니다! (33.2%) 다음 앱을 다운로드하십시오: PC Cleanup PC에서 3종의 바이러스를 제거하는 애플리케이션"이라는 경고를 통해 감염된 바이러스를 제거하도록 버튼을 제공하고 있습니다.

 

 

실제 연결된 페이지는 Win Speedup 2018 이라는 이름을 가진 PC Repair Tool 다운로드 페이지이며, 우측 상단에는 노턴(Norton)과 McAfee에서 보안 인증이 이루어진 것처럼 표시하고 있습니다.

 

출처 : https://www.malwares.com

 

실제 Win Speedup 2018 다운로드를 진행해보면 아마존(Amazon) CDN 서비스를 통해 파일 다운로드(SHA-1 : 3e07614010ce14a09d7f903d0da47b87e8265c79 - McAfee : Artemis!502C5D337CF9, Norton : Trojan.Gen.2)가 이루어지고 있으며, 특히 McAfee와 Norton 보안 제품에서 진단이 이루어지고 있는 것으로 확인됩니다.

 

출처 : https://www.malwares.com

 

다운로드된 설치 파일에는 유효한 "PC CARE TOOLS" 디지털 서명이 포함되어 있으며, 대체적으로 프로그램 자체보다는 설치 유도를 위한 마케팅 방식이 문제라고 판단됩니다.

 

 

프로그램 설치를 시도해보면 Win ~SpeedUp~2018 프로그램 이름으로 설치가 진행되는 것을 알 수 있습니다.

 

 

또한 설치 중에 "Driver Updater" 프로그램을 제휴 프로그램으로 추가하여 설치를 유도하고 있습니다.

 

 

설치가 완료된 경우 "C:\Program Files\Win ~SpeedUp~2018 for <컴퓨터 이름>" 폴더 경로에 프로그램이 설치되며, 자동 실행되어 검사가 진행되며 다수의 유효하지 않은 레지스트리 값을 탐지하여 수리하도록 음성 안내와 팝업 메시지를 생성할 수 있습니다.

 

 

또한 Windows 부팅 시 프로그램의 자동 실행을 위해 작업 스케줄러에 "Win ~SpeedUp~2018_Logon" 등록값을 추가하여 "C:\Program Files\Win ~SpeedUp~2018 for <컴퓨터 이름>\bpp.exe" startupshow 파일(SHA-1 : 1e7269ccb14c936871eabbfbf43d8ee4cf14e8a4 - ESET : a variant of MSIL/GT32SupportGeeks.M potentially unwanted)을 자동 실행하도록 구성되어 있습니다.

 

 

탐지된 항목에 대한 치료를 위해서는 유료 구매를 요구하며 특히 제품을 구매할 경우 McAfee Internet Security 제품을 무료로 제공한다고 안내하고 있습니다.

 

그런데 Win Speedup 2018 제품의 가격보다 무료로 제공하는 McAfee 백신 프로그램이 2배는 더 비싸다는 점은 아이러니합니다.

 

 

가짜 바이러스 감염 메시지에 속아 사용자의 실수로 Win Speedup 2018 프로그램이 설치된 경우 앱 및 기능에서 제공하는 "Win ~SpeedUp~2018" 제거 목록을 통해 깨끗하게 삭제가 가능하므로 프로그램으로 인한 문제는 없으리라 생각됩니다.

 

단지 해당 프로그램 설치를 목적으로 가짜 마이크로소프트(Microsoft) 웹 사이트에 유사하게 제작된 페이지로 허위 정보를 제공한다는 점에서 속을 수 있으므로 단순히 웹 사이트 접속 중에 바이러스에 감염되었다는 웹 페이지 메시지는 되도록이면 신뢰하지 마시고 접속한 페이지를 닫으시길 권장합니다.

728x90
반응형