이전에 소개한 사이트 게시판을 이용한 해외 악성코드 유포 방식에 대해 두 번재 이야기입니다.

국내 인터넷 사용자 중에서 의외로 해외에서 제작된 가짜 백신에 감염되어 컴퓨터의 정상적인 사용에 많은 고생을 하시는 분들이 많은 것 같습니다.

평소 국내 사이트를 다니더라도 어떻게 해외에서 제작된 가짜 백신에 감염될 수 있는지 그 경로를 추적해 보았습니다.


관리가 제대로 되지 않는 사이트의 자유 게시판에는 게시글 형태 또는 특정 게시글의 덧글 형태로 위와 같이 로봇이 수많은 링크를 남기는 일이 있습니다.

하나의 덧글 속에도 다양한 도메인으로 위장한 링크를 통해 얼마나 많은 인터넷 사용자를 감염시킬 준비를 하였는지 잘 아실 수 있습니다.


링크를 통해 접근을 하면 위와 같이 매우 평범한 블로그가 나옵니다. 정상적인 블로그로 보이지만 특정 게시글을 더 자세히 보기 위해 [Read More]를 클릭하면 다음과 같은 창이 생성됩니다.


이번에 나오는 화면은 마치 비주류 검색 사이트로 위장하여 특정한 검색어를 입력하지 않은 상태에서 하단에 몇 가지 광고성 링크를 제공하고 있습니다.

지금까지 이 화면까지 따라온 분들이라면 도박(Poker) 또는 인터넷을 통한 다운로드(torrent)에 관심이 있는 분들일 확률이 높고 하단에서 제공하는 링크를 클릭할 수도 있습니다.

XPAntiVirus 라는 해외에서 유명한 가짜 백신의 이름을 통해 컴퓨터 보안과 가짜 백신(Rogue)을 찾아 제거할 수 있다는 홍보를 통해 실제 해당 프로그램에 대해 모르는 사람을 유도하고 있습니다.


사이트에 접속을 하면 XP AntiVirus Protection 이라는 이름으로 서비스되는 보안 제품 사이트를 확인할 수 있고 접속자가 호기심에 무료 스캔(Free Scan) 또는 다운로드(Download)를 클릭하면 다음과 같은 화면을 출력합니다.


위와 같은 안내 경고창을 통해 무료 검사를 강조하면서 Antivirus 2009 라는 또 다른 제품 이름으로 접속자의 컴퓨터를 검사한다는 내용이 나옵니다.

재미있는 부분은 초기에는 XPAntiVirus로 시작하여 XP AntiVirus Protection를 거쳐 Antivirus 2009에 도착하는 과정을 통해 이들 제품들은 하나의 집단에서 다양한 이름으로 배포하는 것을 추정할 수 있습니다.


실제로 이 화면이 나오는 순간부터는 접속자는 강제로 IE 프로세스를 종료하지 않는한 유포자가 원하는 동작이 진행되는 것입니다.


위와 같은 시스템 검사 사이트를 통해 빠른 속도로 접속자의 컴퓨터를 검사를 하여 위험한 악성코드에 감염되었다는 메시지와 함께 허위 진단 결과를 제시합니다.

이 화면에서도 역시 접속자는 해당 창을 닫을 수 없으므로 어쩔 수 없이 화면을 클릭하면 특정 서버에서 실행 파일을 다운로드 하도록 유도합니다.

대체로 그런 화면에서는 [저장] 버튼보다는 [실행] 버튼을 누르라고 추천하는 경향이 강하므로 웹 상에서 파일을 다운로드 할 경우에는 반드시 저장 버튼을 눌려서 하드 디스크에 다운로드하는 습관을 가지시기 바랍니다.

파일이 다운로드 되어도 열려진 위의 페이지를 닫으면 또 다시 자동으로 동일하거나 또는 다른 악의적인 파일을 다운로드 할 수 있도록 창이 열리는 등 끝까지 접속자가 파일을 받아서 실행하도록 유도를 합니다.


그런 열린 창을 닫으면 위와 같은 경고 메시지를 통해 다운로드 된 파일을 실행하여 감염된 컴퓨터를 치료하라는 메시지도 잊지 않고 있습니다.

[InstallAVg_880062.exe]

Antivirus Version Last Update Result
a-squared 4.0.0.73 2009.01.18 -
AhnLab-V3 2009.1.15.0 2009.01.17 -
AntiVir 7.9.0.57 2009.01.18 -
Authentium 5.1.0.4 2009.01.17 -
Avast 4.8.1281.0 2009.01.16 -
AVG 8.0.0.229 2009.01.18 -
BitDefender 7.2 2009.01.18 -
CAT-QuickHeal 10.00 2009.01.17 -
ClamAV 0.94.1 2009.01.18 -
Comodo 935 2009.01.18 -
DrWeb 4.44.0.09170 2009.01.18 Trojan.Fakealert.3799
eSafe 7.0.17.0 2009.01.18 -
eTrust-Vet 31.6.6312 2009.01.17 -
F-Prot 4.4.4.56 2009.01.17 -
F-Secure 8.0.14470.0 2009.01.18 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.18 -
Ikarus T3.1.1.45.0 2009.01.18 -
K7AntiVirus 7.10.594 2009.01.17 -
Kaspersky 7.0.0.125 2009.01.18 -
McAfee 5498 2009.01.17 -
McAfee+Artemis 5498 2009.01.17 -
Microsoft 1.4205 2009.01.18 -
NOD32 3774 2009.01.17 -
Norman 5.93.01 2009.01.16 -
nProtect 2009.1.8.0 2009.01.16 -
Panda 9.5.1.2 2009.01.18 -
PCTools 4.4.2.0 2009.01.18 -
Prevx1 V2 2009.01.18 Fraudulent Security Program
Rising 21.12.62.00 2009.01.18 -
SecureWeb-Gateway 6.7.6 2009.01.18 -
Sophos 4.37.0 2009.01.18 Sus/Behav-297
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.18 -
TheHacker 6.3.1.5.222 2009.01.17 -
TrendMicro 8.700.0.1004 2009.01.16 Cryp_FakeAV-9
VBA32 3.12.8.10 2009.01.17 -
ViRobot 2009.1.17.1563 2009.01.17 -
VirusBuster 4.5.11.0 2009.01.18 -
Additional information
File size: 188416 bytes
MD5...: c661b888349aaf0e5af2ecb9e0812c5b
SHA1..: 4d483d10f70d388bc50569c1b1994881ce4db918


특히 이런 류의 수많은 변종으로 인하여 보안 제품에서는 사전 진단으로도 진단하기 어려운 점이 많아 보이며, 일부 보안 제품의 경우에는 설치 파일은 진단하지만 실제 진단된 설치 파일로 감염된 컴퓨터는 치료하지 못하는 경우도 종종 있습니다.

국내 가짜 백신은 해외 가짜 백신에 비해 그나마 배포 방식이나 감염될 경우를 비교하여 양반 수준으로 보입니다. 하지만 해외 가짜 백신은 컴퓨터를 괴롭히고 국내 가짜 백신은 실제 결제를 통한 피해와 함께 교묘한 방식으로 국내외 보안 제품에서 진단하지 않도록 제작되는 것이 특징이 아닌가 생각합니다.
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..