사진 파일이 첨부된 메일로 위장한 허위 백신

해외에서 제작된 허위 백신들은 다양한 경로로 유포를 시도하고 있다. 여러 유포 경로 중에서는 검색 엔진의 결과를 조작하는 블랙햇 SEO(BlackHat Search Engine Optimization) 기법을 포함하여 유튜브(Youtube)의 동영상 웹 페이지로 위장하여 유포하는 사례까지 다양하다.

그 중에서도 가장 전통적이며 오랜된 방법으로는 사회 공학(Social Engineering) 기법을 이용해 이메일의 첨부 파일로 유포하는 방법을 들 수가 있다.

최근 지속적으로 발견되고 있는 사진 파일을 첨부한 메일로 위장해 유포를 시도한 허위 백신 역시 이러한 사회 공학 기법을 악용하여 2월 중순 처음 발견되어 현재까지 이어지고 있다.

사진 파일 첨부 메일로 위장한 허위 백신은 다음과 같은 메일 형태로 유포 되고 있다.

* 메일 제목

nake pics as you've requested

* 메일 본문

Take a look at my naked pics I am attching and let me know what you think about my body.

Especially my tight ass.

* 첨부 파일

pics.scr, mypicture.scr, mypic.scr, sexypic.scr, picofme.zip, picturenaked.zip, sexypic.scr

위와 같은 메일 형태로 유포되었던 허위 백신은 메일 제목과 메일 본문은 2월 중순 최초 유포시부터 현재까지 동일하게 사용되지만 첨부 파일만은 다른 변형들로 지속적으로 파일명을 변경하여 유포되었다.

첨부된 허위 백신이 실행 되면 먼저 자신이 실행된 윈도우(Windows) 운영체제가 가상화 시스템인지를 확인하여 가상화 시스템일 경우에는 실행을 중단하게 된다.

그리고 감염된 시스템이 실제 하드웨어에 설치된 윈도우 운영체제로 확인 되면 감염된 시스템에 존재하는 폴더들을 순차적으로 검색하여 다수의 폴더들에 자신의 복사본 다수를 서로 다른 파일명으로 생성하여 수동으로 삭제하기 어렵도록 하고 있다.

허위 백신이 실행되면 아래 이미지에서와 같이 기존에 발견되었던 다른 허위 백신들과 유사하게 허위 진단 결과를 보여주게 된다.

그리고 해당 허위 백신이 실행 중에 다른 일반 프로그램들을 실행 할 경우에는 아래 이미지와 같이 보안적인 문제로 해당 프로그램을 강제 종료하였다는 메시지를 보여주며 시스템의 정상적인 사용을 어렵게 만든다.

검사가 종료되면 허위로 진단 된 결과를 치료하기 위해서는 정상적인 소프트웨어 사용을 위한 라이센스 키 입력을 할 것을 요구 하게 된다.

라이센스 키 입력을 위해 “Get License”를 클릭하게 되면 아래 이미지와 같이 다른 허위 백신들이 보여준 것과 동일하게 금전적인 비용을 요구 하게 된다.

이 번에 발견된 허위 백신은 검사가 진행되는 모습, 허위 진단 결과 그리고 금전적인 비용을 요구하는 과정은 동일하다.