1. 개 요


최근 특정 러시아어 사이트에서 해외 유명 백신의 설치 본으로 위장한 악성파일을 유포하고 있어 주의가 필요하다. 해당 사이트에서 다운로드가 가능한 악성파일은 실행 시 사용자에게 유료 과금 형식의 피해를 끼칠 수 있어 이슈가 될 수 있으며, 아직까지 국내에서 특별한 피해사례는 접수되고 있지 않다. 다만, 최근 국내에서 허위백신을 이용해 부당한 방법으로 금전 이득을 취해온 일당이 검거되는 등 백신을 통한 사기 수법이 증가 추세에 있는 만큼 이번 글을 통해 관련 내용을 살펴보고 이러한 사기 수법으로 피해를 입지 않도록 참고할 수 있는 시간을 가져보고자 한다.
  

[참고 : 가짜백신으로 총 26억 원 편취한 11명 검거]
http://www.boannews.com/media/view.asp?idx=25551&kind=0

[참고 : "정상 PC 치료해 준다는 가짜백신 속지 마세요"]
http://app.yonhapnews.co.kr/YNA/Basic/article/new_search/YIBW_showSearchArticle.aspx?searchpart=article&searchtext=%ea%b0%80%ec%a7%9c%eb%b0%b1%ec%8b%a0&contents_id=AKR20110404064500054
  

2. 감염 경로 및 증상


이번에 발견된 백신 설치 본 위장 악성파일은 아래와 같은 러시아어 사이트에서 유포되고 있는 것으로 확인되었다.


위 그림의 적색박스 부분을 보면 해외 유명 백신의 아이콘들을 볼 수 있으며, 원하는 백신을 선택해 함께 있는 링크를 클릭할 경우 아래와 같은 사이트로 이동하게 된다. 이동 후 관련 링크를 재차 클릭할 경우 해외 유명 백신으로 위장한 악성파일을 아래의 그림과 같이 다운로드 하게 된다.


 
◆ 다운로드가 가능한 백신 설치본 위장 악성파일들


  

위 그림들과 같이 해당 사이트에는 여러 해외 유명 백신의 설치 본으로 위장된 악성파일들이 업로드 되어 있으며, 다운로드하여 실행할 경우 아래의 그림과 같이 모두 동일한 인증코드 입력창을 볼 수 있게 된다.

위 그림과 같은 인증코드 입력 창에서 적색박스 부분의 "Payment Terminals"를 클릭할 경우 특정 결제 사이트로 이동하게 되며, 아래의 그림과 같이 휴대폰 번호 인증 절차를 거쳐 SMS 이용 과금 등의 금전적 피해를 끼칠 수 있다.

3. 예방 조치 방법

현재 국 내외에서 백신을 가장한 허위백신 등을 통해 금전적 이득을 취하는 형태의 사이버 범죄가 뚜렷한 증가 추세를 보이고 있다. 이번에 발견돼 위와 같은 악성파일과 허위백신 또한 일종의 사회공학 기법을 이용한 사이버 범죄로 볼 수 있으며, 이러한 악성파일로부터 일반 사용자들이 안전하기 위해서는 ▶기본적으로 윈도우와 같은 OS 및 각종 응용 프로그램에 대한 최신 보안 패치와 함께 ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴으로 업데이트한 후 실시간 감시 기능을 항상 "ON" 상태로 유지하여 사용하는 방법이 최선일 수 있다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 위와 같은 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.



 

저작자 표시
신고
Posted by nProtect
2010년 1월 28일경 부터 외산 허위 Anti-Virus 제품들이 한국어를 포함한 다국적 언어를 지원하는 형태로 지능화되어 국내에도 감염 피해 보고가 지속적으로 증가하고 있는 것이 발견되고 있어 인터넷 사용자들의 각별한 주의가 필요하다.

기존에 보고되었던 외산 허위 Anti-Virus 제품들은 대부분 영문 언어만을 사용하였기 때문에 국내에서는 상대적으로 쉽게 현혹되지 않았지만, 이번에 등장한 변종은 한글 및 다국적 언어를 지원하고 있기 때문에 자국 언어를 사용하는 경우 정상적인 보안 제품으로 오인할 가능성이 높다고 지적할 수 있다.

처음에 악성코드가 실행되면 아래 그림과 같이 마이크로 소프트사의 정상적인 자동 업데이트 화면처럼 위장한 설치 그림이 보여지고, "XP Internet Security 2010 설치 중" 이라는 문구를 보여주면서, 마치 정상적인 보안 제품이 설치되는 과정으로 위장한다.


설치가 완료되면 "Antivirus XP 2010 - 등록되지 않은 버전" 이라는 프로그램 타이틀이 보여지고, 사용자 컴퓨터에 악성코드가 다량으로 감염되어 있는 것처럼 허위 검사 결과를 출력한다.


악성코드를 치료 시도하거나 설치된 악성코드가 임의로 정식 등록 요구 화면 등을 출력하여 사용자로 하여금 과금 유료 결제를 지속적으로 유도하게 된다.



시간에 따라서 아래와 같이 다양한 허위 경고 창 화면과 운영체제 취약점으로 인하여 외부의 공격 침입이 발생하고 있는 것처럼 가짜 화면을 연속적으로 출력하여 감염된 컴퓨터 사용자를 현혹시키게 된다.

일부 내용에는 잘못된 문구가 포함되어 있기도 하다.



이번에 발견된 외산 허위 Anti-Virus 제품의 경우 한글을 포함하여 다국적 언어 설정을 지원하고 있다.


악성코드의 치료를 위해서 정식버전으로 등록하려고 시도를 할 경우 다음과 같이 특정 사이트로 연결되며, 라이센스 구매에 약 50달러에서 70달러 정도의 금액 결제를 요구하게 된다.


위에서 언급한 것 이외에도 최근들어 다양한 변종이 한글화되어 유포되고 있는 것이 목격되고 있기 때문에 최대한 신뢰할 수 있는 보안업체의 Anti-Virus 제품을 설치하여 이러한 형태의 악성프로그램에 노출되어 피해를 입지 않도록 하는 노력이 필요하다. 




상기와 같은 허위 보안 제품류는 사용자의 정상적인 컴퓨터 작업을 방해하며, 존재하지 않는 악성코드 감염 경고창을 보여주어 금전적인 결제 피해 등을 입을 수 있다.

특히, 정상적인 응용프로그램 등을 악성코드로 오진단하여 삭제시키는 경우도 종종 발생하고 있기 때문에 신뢰할 수 없는 프로그램의 사용에 각별한 주의가 필요하며, 허위 보안제품 등이 점차 지능화되고 있다는 점도 유념해야 할 부분이다.

더불어 정상적인 보안 제품에 대한 신뢰도에도 직간접적으로 악영향을 끼치고 있어 사회적인 문제로 대두되고 있다.

마지막으로 다음과 같은 개인 보안 수칙을 준수하여 다양한 보안 위협에 노출되지 않도록 하는 노력이 필요하다.  

[기본 보안 관리 수칙]

- 사용중인 운영체제(OS)의 취약점을 보완하기 위하여 정기적으로 최신 서비스팩과 보안패치로 업데이트한다.

- Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위하여 최신 버전으로 사용한다.

- Firewall, Anti-Virus 등의 개인용 보안제품을 설치하고 항시 최신버전으로 유지하며, 실시간 감시 및 정기 검사를 진행한다.

- 불법 소프트웨어를 사용하지 않으며, 신뢰할 수 없는 정보나 유해 사이트 등의 접근을 하지 않도록 한다.

- 사용하고 있는 각종 로그인 암호는 다른 사람이 추측하지 못하도록 가능한 복잡하게 설정하고 정기적으로 변경한다.

- 사회적인 관심사나 특정 이슈 내용에 쉽게 현혹되어 신뢰할 수 없는 프로그램을 무심코 실행하지 않도록 한다. 

- 직접 설치하지 않았거나 증명되지 않은 프로그램의 경우 허위 제품 유무를 신중하게 판별한 후 사용하도록 한다.
저작자 표시
신고
Posted by nProtect