다양한 이름으로 유포되고 있는 허위백신들이 많이 존재한다.

이러한 허위백신은 사용자의 컴퓨터 사용을 불편하게 하고 있다.

6월에 발견된 허위백신 Live Security Platinum 이 7월에는 어떻게 변경되었는지 살펴보겠다.

 

6월에 발견된 허위백신의 모양은 보통의 보안제품과 유사한 형태를 갖고 있었으며, 7월에 발견된 변종도 유사한 형태를 갖고 있다.

 

[그림1] 6월과 7월에 발견된 Live Security Platium 허위백신

 

이번에 발견된 허위백신은 독일 우편 배송 업체를 위장한 e-mail 을 통해서 유포되었다.

[그림2] 독일 우편 배송 업체를 위장한 e-mail

 

e-mail 본문에는 우편 주소로 전달하는데 실패했고, 첨부된 파일을 확인하라는 내용이다. 첨부된 zip 파일을 압축해제 하면 [그림3]과 같은 pdf 아이콘으로 위장한 파일이 존재한다.

 

[그림3 압축해제 후 파일

 

[그림4] email 에 첨부된 Postetikett_Deutsche_Post_AG_DE 악성 파일 정보

 

해당 파일을 실행하게 되면, 아래와 같은 경로에 파일이 생성되고, 실행된다.

 

[그림5] 생성된 파일 위치

 

파일 생성과 더불어 바탕화면에 아이콘을 생성하고, 프로그램 목록에 자신을 등록한다.

[그림6] 아이콘 / 경고 문구

 

[그림7] 프로그램 목록에 추가된 화면

 

이 후 시스템이 악성코드에 감염된 것 처럼 사용자에게 허위정보를 보여준다.

허위 감염정보는 지난 6월과 동일하며, 지원하는 언어로 보아 6개 국가를 타켓으로 제작된 것으로 추정되나, 국내에도 감염자가 존재한다.

[그림8] 허위백신 화면

 

 

사용자가 치료를 하려고 하면 Activate 를 팝업시킨다.

[그림9] Activate 팝업

 

YES, 를 선택하면 결제를 유도하는 팝업창이 나타난다.

재미있게도 1달 사이에 가격이 많이 상승했다. :D

[그림10] 결제 유도 화면

 

허위백신의 대표적인 특징중에 하나인, 결제를 하지 않으면 주기적으로 Alert 창을 발생시켜 사용자의 컴퓨터 사용을 불편하게 한다.

 

[그림11] Alert 팝업

 

수동조치 방법은 악성 프로세스를 종료하고 생성된 파일을 삭제하면 된다.

다만, 악성코드에 의하여 작업관리자가 실행되지 않으므로, 작업관리자(taskmgr)의 파일명을 explorer 로 변경하여 실행 후, 악성프로세스를 종료/삭제하면 된다.

[그림12] 작업관리자 파일의 위치

 

[그림13] 악성 프로세스 끝내기

 

이러한 허위백신은 스팸메일을 통하여 유포되거나, 파일공유사이트와 같은 안전성이 확인되지 않은 공유 공간에서 유포가 이루어지는 경우가 많다.

 

사용자들은 발신인이 불명확한 메일이나, 안전성이 확인되지 않은 곳에서 파일을 다운로드 받지 않는 습관을 가져야 한다.

 

 

<V3 제품군의 진단명>

Trojan/Win32.FakeAV

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@