허위 어도비 플래쉬 플레이어 업데이트로 위장한 악성코드

2010년 8월 11일 오전 해외에서 허위로 만들어진 어도비(Adobe) 플래쉬 플레이어(Flash Player) 업데이트 웹 사이트를 통해 악성코드를 유포하고 있는 것이 발견되었다.

이번에 발견된 허위 어도비 플래쉬 플레이어 업데이트 웹 사이트는 어제 어도비사에 취약점 제거를 위해 보안 패치를 배포한 것과 유사한 시기에 발견된 형태라 주의가 필요하다.

허위 어도비 플래쉬 플레이어 업데이트 웹 사이트는 아래 이미지와 같이 실제 어도비에서 운영하는 업데이트 웹 사이트와 유사하게 제작되어 있어 일반 사용자의 입장에서는 허위 사실 여부를 파악하기 어렵다는 점을 특이 사항으로 볼 수 있다.


해당 허위 웹 사이트에서는 위 이미지의 붉은 색 박스에서를 클릭하게 되면 아래 이미지와 같이
install_flash_player.exe (25,088 바이트) 파일을 다운로드 하게 된다.

다운로드 한 파일은 악성코드로서 해당 파일이 실행되면 정상 svchost.exe 파일의 메모리 영역에 자신의 코드를 삽입하여 허위 백신을 설치하는 다른 악성코드 변형들을 다운로드 하는 기능 등을 수행하게 된다.

이에 발견된 허위 어도비 플래쉬 플레이어 업데이트 웹 사이트에서 유포한 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Injector.25088.K

이러한 허위 웹 사이트를 통해 악성코드가 유포되는 사례가 있음으로 소프트웨어 업데이트의 경우에는 해당 제품을 통해 직접 업데이트를 진행하고 웹 브라우저를 통해 업데이트를 진행할 경우에는 웹 사이트 주소를 미리 확인하여 실제 해당 업체에서 운영하는 웹 사이트인지 미리 확인 해보는 것이 중요하다.

그리고 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments