트위터에서 구글 단축 URL을 악용해 악성코드 유포

2011년 1월 21일 새벽 해외에서 유명 소셜 네트워크 서비스(Social Network Service)인 트위터(Twitter) 메시지에 허위 백신을 유포하는 웹 페이지로 유도하는 구글(Google) 단축 URL(URL shortening)이 유포되었다.

이 번에 트위터에서 유포된 악의적인 구글 단축 URL 관련 사항은 SANS에서 “Possible new Twitter worm” 블로그를 통해서도 공개하고 있다.

아래 SANS에서 공개한 이미지를 보면 트위터 메시지 내부에서 일반적으로 많이 사용되는 구글에서 제공하는 단축 URL 주소들이 포함되어 있다.

해당 악의적인 구글 단축 URL은 아래 이미지와 같은 전체적인 구조를 이루고 있으며 3번에 걸친 재연결(Redirection)을 통해 최종적으로 허위 백신을 유포하는 악의적인 웹 사이트로 접속을 유도하고 있다.

이러한 3 단계를 거쳐 최종적으로는 허위 백신을 설치하는 웹 사이트로 유도하며 해당 웹 사이트에서 다운로드 한 파일을 실행하면 다음 이미지와 같이 설치가 완료되었다는 안내 문구가 나타난다.

그리고 설치가 완료 됨과 동시에 시스템을 전체적으로 검사를 진행하며 정상 파일들을 악성코드로 진단하며 최종적으로 45개의 악성코드가 발견되었다는 허위 감염 문구를 보여주게 된다.

메시지에 나타난 치료하기(Remove all threats now)를 클릭하면 아래 이미지와 같이 79.95 달러(한화 약 2만 3천원)를 결제하면 평생동안 사용할 수 있는 라이센스와 기술지원 서비스를 받을 수 있다는 메시지를 보여주게 된다.

이 번 트위터를 통해 악의적인 구글 단축 URL을 통해 유포된 허위 백신은 V3 제품군에서 다음과 같이 진단하며 허위 백신은 다수의 변형들이 존재함으로 각별한 주의가 필요하다.

Win-Trojan/Fakeav.311808.AC

그리고 이러한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.