2010년 7월 14일 마이크로소프트(Microsoft) 윈도우(Windows) 운영체제의 제로 데이(Zero-Day, 0-Day) 취약점이었던 “MS10-046 Windows 셸의 취약점으로 인한 원격 코드 실행 문제점(2286198)“을 악용하고 SCADA(Supervisory Control And Data Acquisition) 시스템을 감염하기 위해 제작된 Stuxnet 웜(Worm)을 주제로 해 허위 백신이 유포된 것이 2010년 10월 1일 오전 해외 보안 업체들을 통해 알려졌다.
이번에 유포된 허위 백신들은 블랙햇 SEO(BlackHat Search Engine Optimization)이라는 기법을 이용하여 유포되었다. 해당 기법은 구글(Google) 검색 엔진의 검색 결과에서 악의적인 웹 사이트(Web Site)들의 상위에 나타나도록 조작하는 것을 이야기 한다.
이러한 블랙햇 SEO 기법을 악용하여 유포되었던 악성코드 사례로는 2010년 3월 김연아 선수의 동계 올림픽 금메달 수상을 주제로한 사례, 2010년 4월 해외 보안 업체인 맥아피(McAfee)의 오진 사고를 주제로한 사례 그리고 2010년 5월 팩맨(Pac Man) 게임의 탄생 30주년을 주제로한 사례들이 존재한다.
SCADA 시스템을 감염시키기 위해 제작된 것으로 알려지게 된 Stuxnet 웜을 주제로 하여 블랙햇 SEO 기법으로 유포한 허위 백신은 아래 이미지와 같이 유튜브(YouTube) 웹 페이지로 위장하여 Stuxnet 웜 관련 동영상을 보기 위해서는 코덱(Codec)을 설치 하도록 유도하고 있다.
다운로드하여 설치하도록 유도하는 코덱이라는 파일은 install 48728.exe(60,416 바이트) 파일명을 가지고 있으나 해당 파일은 허위 백신을 설치하기 위한 악성코드이다.
이번 Stuxnet 웜을 주제로 하여 블랙햇 SEO 기법을 악용하여 유포를 시도하였던 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
Dropper/Malware.60416.U
Win-Trojan/Fakeav.165376
다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.
Categories:악성코드 정보