트위터 사용자 암호 리셋 메일로 위장한 허위 백신

해외 시각으로 2010년 6월 2일 야간 유럽과 러시아를 포함한 동유럽 일부 지역에서 유명 소셜 네트워크 서비스(Social Network Service) 웹 사이트인 트위터(Twitter)의 사용자 암호를 리셋 시킬 수 있다는 메일로 위장하여 허위 백신을 설치하는 악성코드가 유포되었다.

이번에 유포된 허위 백신을 설치하는 악성코드와 관련하여 미국 보안 업체인 웹센스(Websense)에서도 해당 업체 블로그 “
Reset your Twitter Password malicious spam“를 통해서도 관련 정보를 공개하고 있다.

이번과 같이 트위터로 위장하여 악성코드의 유포를 시도한 사례는 처음이 아니며 2010년 5월에는
성인 약품 광고를 위한 스팸 메일 사례, 2009년 6월과 9월에는 트위터 초대 메일로 위장하여 악성코드 유포 사례가 존재한다.

이번에 유포된 허위 백신을 설치하기 위한 악성코드는 웹센스에서 공개한 아래 이미지에서와 같이 “
Reset your Twitter password“라는 메일 제목을 사용하고 있으며 별도의 첨부 파일 없이 메일 본문에 특정 웹 사이트로 연결하는 링크가 제공되고 있다.


해당 메일 본문에 존재하는 웹 사이트 링크를 클릭하게 될 경우에는 특정 웹 사이트에 존재하는
password.exe(36,352 바이트)의 파일을 다운로드 하게 된다.

다운로드 된 password.exe(36,352 바이트)을 실행하게 될 경우에는 아래 이미지에서와 같이 스위스에 위치한 특정 시스템으로 접속을 시도하여 성공하게 될 경우 다른 허위 백신을 설치하는 악성코드를 다운로드 한 후 실행하게 된다.


다운로드 된 파일이 실행되면 아래 이미지와 같이 사용자의 동의 없이 자동으로 허위 백신의 설치 과정이 진행되며 설치되고 있는 파일이 정상적인 백신인 것으로 위장한 광고 문구들을 보여주고 있다.


그리고 설치가 완료되면 사용자 컴퓨터의 바탕화면에는 아래 이미지와 같이 설치된 허위 백신인 “Protection Center“와 “Protection Center Support“라는 바로 가기 아이콘을 생성하여 기술지원과 상담이 가능한 정상 백신으로 위장하게 된다.


그리고 자동으로 시스템을 스캐닝하기 시작하여 윈도우 시스템에 존재하는 다양한 정상 파일들을 악성코드로 진다하여 컴퓨터 사용자에게 사용하고 있는 시스템에 다수의 심각한 악성코드들에 감염되어 있다는 거짓 메시지를 보여주게 된다.


그리고 이와 동시에 아래 이미지에서와 같이 윈도우 시스템트레이(System tray)에서 사용하는 컴퓨터 시스템에 특정 악성코드가 감염되었다는 허위 메시지를 지속적으로 보여주며 치료할 것을 권유하고 있다.


이번에 발견된 해외에서 제작된 허위 백신은 기존에 발견된 허위 백신들과는 다르게 감염된 시스템의 바탕화면에 아래와 같이 성인 웹 사이트와 실행 파일 형태의 바로가기 파일 5개를 생성한다.


생성한 해당 바로가기 파일들은 해당 시스템에 악의적인 행위를 하지 않는 단순 바로가기 파일이나 해당 파일을 클릭하게 되면 아래 이미지와 같이 악성코드에 감염되었다는 메시지를 보여주어 사용자로 하여금 실제 악성코드가 존재하는 것으로 허위 메시지를 제공하는 특징을 보여주고 있다.


기존 해외에서 제작된 허위 백신들에서는 앞에서 설명한 바와 같이 대부분이 사용하는 시스템에 악성코드가 다수 존재하다면서 윈도우 시스템 파일들을 진단 결과로 보여주었다.


그러나 이번에 발견된 허위 백신은 아래 이미지에서와 같이 네트워크로도 공격이 발생하고 있으나 설치된 허위 백신의 네트워크 방화벽 기능을 활성화 시키라는 메시지를 보여주어 시스템적인 공격과 네트워크적인 공격이 동시 발생하는 심각한 상황임을 컴퓨터 사용자에게 보여주고 있다.


이번 트위터 사용자 암호를 리셋한다는 메일로 위장하여 유포된 허위 백신을 설치하는 악성코드는 V3 제품군에서 아래 바이러스토털(VirusTotal) 이미지에서와 같이 2010.06.03.01 엔진에서부터 해당 악성코드를 진단한다.


그 외에 이와 관련된 다른 악성코드들은 V3 제품군에서 다음과 같이 진단한다.


Win-Trojan/Tdss.343040
Win-Trojan/Fakecog.416256
Win-Trojan/Alureon.36352.B
Win-Trojan/Fakecog.218624
Win-Trojan/Alureon.36352.D

이렇게 전자 메일을 통한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다.

1. 안티스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments