1. 개요


최근 "Adobe Flash Player"의 정상 설치 파일인 것처럼 위장되어 유포되어지고 있는 허위 보안 프로그램 발견되어 졌다. 해당 허위 보안 프로그램이 사용자 PC에 설치될 경우 정상파일에 대한 허위 감염 정보나 거짓 경고 메시지를 보여주고 사용자 결제를 유도하는 것이 특징 이다. 이러한 허위백신의 진단결과에 대해서는 신뢰하지 않도록 사용자의 각별한 주의의식이 필요한 상태이다.



1-1. 사회 공학적 기법을 이용한 허위 보안 프로그램 유포 사례 관련 정보

[한글판 외산 허위 Anti-Virus 제품 주의]
출처 : http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=85&page=2&field=&field_value=

[트위터(Twitter)를 통한 허위 백신 유포 주의]
출처 : http://erteam.nprotect.com/94

[北, 연평도 포격과 관련한 사이버 위협 대응태세 유지]
출처 : http://erteam.nprotect.com/77

2. 유포 및 감염 과정
 
다운로드 되어진 허위 보안 프로그램은 Adobe Flash Player의 정상 설치 파일인 것처럼 파일명이 교묘하게 위장되어진 상태이며, 이로 인하여 사용자가 주의깊게 확인하지 않는 한 정상적인 설치파일로 판단할 수 있다.


위 그림과 같이 Adobe_FlashPlayer_10.1.305.31.exe 파일이 실행되면 악성으로 확인되어지는 파일에 대한 허위 진단화면을 다음과 같이 보여주게 되며, Microsoft에서 제공되는 것으로 위장한 중요 보안 경고창을 보여주게 된다.


"Apply action" 버튼을 클릭해야 위와 같은 보안위협을 제거할수 있음을 알리고 있으며, "Apply action" 버튼을 누르게 되면 아래의 그림과 같이 허위 보안 프로그램 설치 준비 과정이 진행되게 된다.


"Install" 버튼을 누르게 되면 현재 정상적으로 프로그램이 설치되어지고 있음을 알리는 설치 진행 상황을 보여주게 된다.


모든 설치가 정상적으로 완료되었으며 그에 따른 컴퓨터 재부팅을 요구한다.


재부팅 이후 윈도우 시작시 "Protected Mode"란 화면으로 전환하게 되며 허위 보안 프로그램이 실행되면서 시스템 전체 검사를 수행 하게 된다. 현재 "Windows Optimization Center"란 프로그램명과 함께 일반 사용자들이 정상적인 프로그램으로 착각할 수 있도록 제작되어져 있다.


모든 시스템 검사과정이 완료되면 아래의 그림과 같이 허위 진단 결과 화면을 사용자에게 보여 주게 된다. 


허위 진단 파일에 대하여 치료가 가능하도록 라이선스 구입을 요구하는 요금 결제창으로 전환하게 된다.

<라이선스 구매 요구 화면>

<결재 유도 창>

3. 감염 증상

 다운로드된 Adobe_FlashPlayer_10.1.305.31.exe 악성 파일이 실행되면 아래와 같은 경로에 특정 파일을 생성하게 된다.

[감염시 생성파일]

(사용자 계정 폴더)C:\Documents and Settings\Administrator\Application Data\protect.exe

[참고사항]

- (사용자 계정 폴더)란 일반적으로 C:\Document and Settings\(사용자 계정)\Application Date 이다.

또한, 아래와 같이 레지스트리 값을 수정하여 윈도우 시작 시 재 실행 되도록 한다. 

[윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

- 값 이름 : “Windows Optimization Center”
- 값 데이터 : "C:\Document and Settings\Administrator\Application Data\protect.exe"

[HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon]

- 값 이름 : "Shell"
- 값 데이터 : "C:\Document and Settings\Administrator\Application Data\protect.exe"

4. 예방 조치 방법

이러한 형태의 외산 허위 보안 프로그램은 거짓 악성파일 감염 내용이나 시스템 경고 메시지를 사용자에게 보여주고 현혹시켜, 소액 과금 결재 등을 통한 금전적 피해를 입힐 가능성이 높다.

특히, 정상적인 응용프로그램 등을 악성 파일로 오진단하는 경우도 종종 발생하고 있기 때문에 신뢰할 수 없는 프로그램의 사용에 각별한 주의가 필요하며, 허위 보안 프로그램 등이 점차 지능화되고 있다는 점도 유념해야 할 부분이다.

더불어 정상적인 보안 제품에 대한 신뢰도에도 직간접적으로 영향을 끼치고 있어 사회적인 문제로 대두되고 있다.

현재 잉카인터넷 대응팀에서는 이와 관련한 다양한 변종의 악성 프로그램에 대하여 진단 및 치료 기능을 제공하고 있으며, 다양하게 발생 가능한 사이버 위협에 대비하여 비상대응 체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면



저작자 표시
신고
Posted by nProtect

1. 개 요


해외시각으로 2010년 12월 16일 트위터를 통한 허위백신 유포 사례가 해외 보안업체 블로그를 통해 보고되었다. 트위터에 해당 허위 백신에 대한 홍보성 글과 함께 단축주소(Short URL)를 사용한 다운로드 경로를 공개하고 있으며, 사용자 PC에 설치될 경우 허위 오류 메시지나 악성파일 감염에 대한 거짓 경고 메시지를 보여준 후 이를 이용해 결제를 유도하고 있다. 때문에 사용자들은 이러한 허위백신에 현혹되지 않도록 하는 주의가 필요하다.

2. 감염 과정

하기의 그림과 같이 트위터를 통해 허위 백신 다운로드 경로가 유포되고 있는 것으로 알려졌다.

출처 : http://pandalabs.pandasecurity.com/twitter-used-for-rogueware-distribution/


상기의 그림과 같이 특정 Anti-Virus에 관한 홍보성 글과 함께 특정 사이트로 이동할 수 있는 단축주소(Short URL)를 기재해 클릭을 유도하며, 클릭 시 아래의 그림과 같은 허위 경고창을 보여준다.


"확인"을 누르게 되면 하기의 그림과 같이 웹 사이트상에서 사용자 PC에 대한 스캔 화면과 동시에 허위 감염 사실을 보여준다.


또한, 위 그림 오른쪽 하단의 적색박스에 존재하는 "Start Protection" 버튼 클릭을 유도하며, 클릭 시 하기와 같은 허위 백신 설치파일을 다운로드 하게된다.


다운로드 되는 Setup.exe 파일은 아래 그림과 같이 윈도우 로고 이미지와 유사한 아이콘을 가지고 있는 것이 특징이다.


Setup.exe 파일이 실행되면 아래의 그림과 같이 Microsoft에서 제공되는 것으로 위장한 중요 보안 경고창을 보여주게 된다.


친절하게 "Scan Online"버튼을 클릭해야 해당 위협을 제거할 수 있다는 설명을 첨부해 클릭을 유도하고 있다. "Scan Online"버튼을 클릭하게 되면 재부팅을 시도하며, 부팅 완료 후 아래의 그림과 같은 화면을 출력한다.


윈도우 아이콘을 사용하여 마치 Microsoft에서 정식으로 서비스되고 있는 것 처럼 깔끔하게 이미지가 표현되어 있다. 또한, 설치 후 재부팅 과정을 거치며 출력되기 때문에 일반 사용자들은 정상적인 프로그램으로 착각할 수 있다.

해당 허위 백신은 참 많은 클릭을 유도하고 있다. "Safe Startup"버튼을 클릭하게 되면 위 그림에서 설명된 것과 같이 "ThinkPoint"로 명명된 "이 세계적인 보안 솔루션이 작동"되어 하기의 그림과 같은 허위 악성파일 진단 결과 창을 보여주게 된다.


위 그림에서 적색박스의 아이콘을 클릭하게 되면 "이 세계적인 보안 솔루션"이 궁극적인 목표로 하는 금전적 이득을 위한 결재 창을 보여주게 된다.


3. 예방 조치 방법

최근에는 위와 같은 허위 백신 외에도 하드디스크의 문제점(조각 모음, 최적화 등)을 해결해 주는 것 처럼 위장해 결제를 유도하는 악성파일들도 등장하고 있다.

이러한 결제 유도 방식의 허위 유틸리티 프로그램들은 이메일, 메신저 혹은 트위터와 같은 SNS를 통해 유포될 수 있으며, 정상 파일처럼 위장하거나 사회적 이슈를 악용한 사회공학적 기법을 이용하기 때문에 사용자 스스로 주의를 기울여야 한다.

위와 같은 악성파일들이 이메일의 첨부 파일 등을 통해 유포되는 경우 발신처가 불분명한 이메일은 열람하지 않고 메일에 포함된 첨부 파일은 다운로드를 주의하는 방법을 통해 어느 정도 대처할 수 있었다. 그러나 악성파일 유포 주소가 포함된 단축주소(Short URL)의 경우 메신저, 혹은 트위터와 같은 SNS를 통해 공개되면 일반 사용자들은 해당 주소에 대한 정확한 확인이 어려울 수 있다.

압축된 단축주소로 인한 피해를 줄이기 위해 원래의 주소를 확인할 수 있는 사이트가 있어 하기와 같이 소개하니 이러한 방법을 숙지하여 단축주소로 인한 피해를 입지 않도록 하자.

※ 단축주소(Short URL) 생성

 - http://is.gd/
 - http://tinyurl.com/

※ 단축주소(Short URL)를 확장주소(Long URL)로 변환

 - http://longurl.org/

■ 단축주소(Short URL)생성 방법

아래와 같은 사이트(http://is.gd)로 이동해 단축주소로 변환할 URL(www.nprotect.com)을 입력한 후 "Compress That Address!" 버튼을 클릭한다.


아래의 그림과 같이 변환된 단축주소를 확인할 수 있다.


■ 단축주소(Short URL)를 확장주소(Long URL)로 변환하는 방법

아래의 그림과 같은 사이트로 이동해 확장주소로 변환할 단축주소(http://is.gd/iSTz5)를 입력한 후 "Expand" 버튼을 클릭한다.


아래의 그림과 같이 변환된 확장주소를 확인할 수 있다.


결제 유도 방식을 취하는 허위 백신이나 허위 유틸리티 프로그램은 ▶사용 중인 OS의 보안패치, ▶Adobe, Flash Player와 같은 응용프로그램의 보안패치도 중요하지만 최근 편리성으로 인해 사용이 잦아진 ▶단축주소(Short URL)에 대해 위에서 설명한 확인방법 등을 참고하여 활용한다면 더욱 안전하게 PC를 사용하는 방법이 될 수 있다. 물론 ▶신뢰할 수 있는 백신 사용과 최신 엔진 및 패턴 버전을 위한 업데이트 생활화는 기본이다.

저작자 표시
신고
Posted by nProtect