예전에 블로그를 통해 SEO Poisoning Attack에 대해 소개한적이 있습니다.
http://core.ahnlab.com/128

이전에는 검색엔진에서 검색한 결과를 클릭하였을 시 악성코드가 삽입된 페이지로 이동하는 형태였습니다. 이러한 형태가 한동안 잠잠하다 최근에 새로운 유형의 공격이 확인 되었습니다.

최근에 "Presley Walker", "Yuri Gagarin" 등 특정 인물 검색 시 아래와 같이 나타나는 사진을 클릭했을 뿐인데 악성코드가 삽입된 사이트로 이동되는 사례가 발견 되었습니다.



이러한 검색 결과로 나온 사진을 클릭하게 되면 아래와 같은 과정으로 허위로 악성코드가 감염되었다는 경고를 보여주며 파일을 다운로드 받아 실행하라는 메세지가 나오게 됩니다.




해당 파일을 실행하게 되면 아래와 같이 허위백신 설치가 진행되며 허위로 악성코드를 검출하여 치료를 위해 결제를 요구하게 됩니다.



현재 V3 제품군에서는 관련 악성코드를 아래와 같은 진단명으로 진단하고 있습니다.


Win-Trojan/Downloader.147597 (2011.04.25.04)
PDF/Exploit (2011.04.26.00)
Win-Trojan/Downloader.10624.D (2011.04.26.00)
Downloader/Win32.Generic

Downloader/Win32.FraudLoad


신고
Posted by 비회원
TAG