최신 보안 동향

Adobe Flash Player의 정상 설치 파일명으로 위장한 허위 보안 프로그램

TACHYON & ISARC 2011. 1. 7. 13:44
1. 개요


최근 "Adobe Flash Player"의 정상 설치 파일인 것처럼 위장되어 유포되어지고 있는 허위 보안 프로그램 발견되어 졌다. 해당 허위 보안 프로그램이 사용자 PC에 설치될 경우 정상파일에 대한 허위 감염 정보나 거짓 경고 메시지를 보여주고 사용자 결제를 유도하는 것이 특징 이다. 이러한 허위백신의 진단결과에 대해서는 신뢰하지 않도록 사용자의 각별한 주의의식이 필요한 상태이다.



1-1. 사회 공학적 기법을 이용한 허위 보안 프로그램 유포 사례 관련 정보

[한글판 외산 허위 Anti-Virus 제품 주의]
출처 : http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=85&page=2&field=&field_value=

[트위터(Twitter)를 통한 허위 백신 유포 주의]
출처 : http://erteam.nprotect.com/94

[北, 연평도 포격과 관련한 사이버 위협 대응태세 유지]
출처 : http://erteam.nprotect.com/77

2. 유포 및 감염 과정
 
다운로드 되어진 허위 보안 프로그램은 Adobe Flash Player의 정상 설치 파일인 것처럼 파일명이 교묘하게 위장되어진 상태이며, 이로 인하여 사용자가 주의깊게 확인하지 않는 한 정상적인 설치파일로 판단할 수 있다.


위 그림과 같이 Adobe_FlashPlayer_10.1.305.31.exe 파일이 실행되면 악성으로 확인되어지는 파일에 대한 허위 진단화면을 다음과 같이 보여주게 되며, Microsoft에서 제공되는 것으로 위장한 중요 보안 경고창을 보여주게 된다.


"Apply action" 버튼을 클릭해야 위와 같은 보안위협을 제거할수 있음을 알리고 있으며, "Apply action" 버튼을 누르게 되면 아래의 그림과 같이 허위 보안 프로그램 설치 준비 과정이 진행되게 된다.


"Install" 버튼을 누르게 되면 현재 정상적으로 프로그램이 설치되어지고 있음을 알리는 설치 진행 상황을 보여주게 된다.


모든 설치가 정상적으로 완료되었으며 그에 따른 컴퓨터 재부팅을 요구한다.


재부팅 이후 윈도우 시작시 "Protected Mode"란 화면으로 전환하게 되며 허위 보안 프로그램이 실행되면서 시스템 전체 검사를 수행 하게 된다. 현재 "Windows Optimization Center"란 프로그램명과 함께 일반 사용자들이 정상적인 프로그램으로 착각할 수 있도록 제작되어져 있다.


모든 시스템 검사과정이 완료되면 아래의 그림과 같이 허위 진단 결과 화면을 사용자에게 보여 주게 된다. 


허위 진단 파일에 대하여 치료가 가능하도록 라이선스 구입을 요구하는 요금 결제창으로 전환하게 된다.

<라이선스 구매 요구 화면>

<결재 유도 창>

3. 감염 증상

 다운로드된 Adobe_FlashPlayer_10.1.305.31.exe 악성 파일이 실행되면 아래와 같은 경로에 특정 파일을 생성하게 된다.

[감염시 생성파일]

(사용자 계정 폴더)C:\Documents and Settings\Administrator\Application Data\protect.exe

[참고사항]

- (사용자 계정 폴더)란 일반적으로 C:\Document and Settings\(사용자 계정)\Application Date 이다.

또한, 아래와 같이 레지스트리 값을 수정하여 윈도우 시작 시 재 실행 되도록 한다. 

[윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

- 값 이름 : “Windows Optimization Center”
- 값 데이터 : "C:\Document and Settings\Administrator\Application Data\protect.exe"

[HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon]

- 값 이름 : "Shell"
- 값 데이터 : "C:\Document and Settings\Administrator\Application Data\protect.exe"

4. 예방 조치 방법

이러한 형태의 외산 허위 보안 프로그램은 거짓 악성파일 감염 내용이나 시스템 경고 메시지를 사용자에게 보여주고 현혹시켜, 소액 과금 결재 등을 통한 금전적 피해를 입힐 가능성이 높다.

특히, 정상적인 응용프로그램 등을 악성 파일로 오진단하는 경우도 종종 발생하고 있기 때문에 신뢰할 수 없는 프로그램의 사용에 각별한 주의가 필요하며, 허위 보안 프로그램 등이 점차 지능화되고 있다는 점도 유념해야 할 부분이다.

더불어 정상적인 보안 제품에 대한 신뢰도에도 직간접적으로 영향을 끼치고 있어 사회적인 문제로 대두되고 있다.

현재 잉카인터넷 대응팀에서는 이와 관련한 다양한 변종의 악성 프로그램에 대하여 진단 및 치료 기능을 제공하고 있으며, 다양하게 발생 가능한 사이버 위협에 대비하여 비상대응 체계를 유지하고 있다.

※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면