1. 개 요
2. 감염 과정
하기의 그림과 같이 트위터를 통해 허위 백신 다운로드 경로가 유포되고 있는 것으로 알려졌다.
출처 : http://pandalabs.pandasecurity.com/twitter-used-for-rogueware-distribution/
상기의 그림과 같이 특정 Anti-Virus에 관한 홍보성 글과 함께 특정 사이트로 이동할 수 있는 단축주소(Short URL)를 기재해 클릭을 유도하며, 클릭 시 아래의 그림과 같은 허위 경고창을 보여준다.
"확인"을 누르게 되면 하기의 그림과 같이 웹 사이트상에서 사용자 PC에 대한 스캔 화면과 동시에 허위 감염 사실을 보여준다.
또한, 위 그림 오른쪽 하단의 적색박스에 존재하는 "Start Protection" 버튼 클릭을 유도하며, 클릭 시 하기와 같은 허위 백신 설치파일을 다운로드 하게된다.
다운로드 되는 Setup.exe 파일은 아래 그림과 같이 윈도우 로고 이미지와 유사한 아이콘을 가지고 있는 것이 특징이다.
Setup.exe 파일이 실행되면 아래의 그림과 같이 Microsoft에서 제공되는 것으로 위장한 중요 보안 경고창을 보여주게 된다.
친절하게 "Scan Online"버튼을 클릭해야 해당 위협을 제거할 수 있다는 설명을 첨부해 클릭을 유도하고 있다. "Scan Online"버튼을 클릭하게 되면 재부팅을 시도하며, 부팅 완료 후 아래의 그림과 같은 화면을 출력한다.
윈도우 아이콘을 사용하여 마치 Microsoft에서 정식으로 서비스되고 있는 것 처럼 깔끔하게 이미지가 표현되어 있다. 또한, 설치 후 재부팅 과정을 거치며 출력되기 때문에 일반 사용자들은 정상적인 프로그램으로 착각할 수 있다.
해당 허위 백신은 참 많은 클릭을 유도하고 있다. "Safe Startup"버튼을 클릭하게 되면 위 그림에서 설명된 것과 같이 "ThinkPoint"로 명명된 "이 세계적인 보안 솔루션이 작동"되어 하기의 그림과 같은 허위 악성파일 진단 결과 창을 보여주게 된다.
위 그림에서 적색박스의 아이콘을 클릭하게 되면 "이 세계적인 보안 솔루션"이 궁극적인 목표로 하는 금전적 이득을 위한 결재 창을 보여주게 된다.
3. 예방 조치 방법
최근에는 위와 같은 허위 백신 외에도 하드디스크의 문제점(조각 모음, 최적화 등)을 해결해 주는 것 처럼 위장해 결제를 유도하는 악성파일들도 등장하고 있다.
※ 참고 사이트
- http://www.precisesecurity.com/rogue/hdd-help/
- http://www.im-infected.com/rogue/system-defragmenter.html
- http://www.precisesecurity.com/rogue/hdd-help/
- http://www.im-infected.com/rogue/system-defragmenter.html
이러한 결제 유도 방식의 허위 유틸리티 프로그램들은 이메일, 메신저 혹은 트위터와 같은 SNS를 통해 유포될 수 있으며, 정상 파일처럼 위장하거나 사회적 이슈를 악용한 사회공학적 기법을 이용하기 때문에 사용자 스스로 주의를 기울여야 한다.
위와 같은 악성파일들이 이메일의 첨부 파일 등을 통해 유포되는 경우 발신처가 불분명한 이메일은 열람하지 않고 메일에 포함된 첨부 파일은 다운로드를 주의하는 방법을 통해 어느 정도 대처할 수 있었다. 그러나 악성파일 유포 주소가 포함된 단축주소(Short URL)의 경우 메신저, 혹은 트위터와 같은 SNS를 통해 공개되면 일반 사용자들은 해당 주소에 대한 정확한 확인이 어려울 수 있다.
압축된 단축주소로 인한 피해를 줄이기 위해 원래의 주소를 확인할 수 있는 사이트가 있어 하기와 같이 소개하니 이러한 방법을 숙지하여 단축주소로 인한 피해를 입지 않도록 하자.
※ 단축주소(Short URL) 생성
- http://is.gd/
- http://tinyurl.com/
※ 단축주소(Short URL)를 확장주소(Long URL)로 변환
- http://longurl.org/
- http://is.gd/
- http://tinyurl.com/
※ 단축주소(Short URL)를 확장주소(Long URL)로 변환
- http://longurl.org/
■ 단축주소(Short URL)생성 방법
아래와 같은 사이트(http://is.gd)로 이동해 단축주소로 변환할 URL(www.nprotect.com)을 입력한 후 "Compress That Address!" 버튼을 클릭한다.
아래의 그림과 같이 변환된 단축주소를 확인할 수 있다.
■ 단축주소(Short URL)를 확장주소(Long URL)로 변환하는 방법
아래의 그림과 같은 사이트로 이동해 확장주소로 변환할 단축주소(http://is.gd/iSTz5)를 입력한 후 "Expand" 버튼을 클릭한다.
아래의 그림과 같이 변환된 확장주소를 확인할 수 있다.
결제 유도 방식을 취하는 허위 백신이나 허위 유틸리티 프로그램은 ▶사용 중인 OS의 보안패치, ▶Adobe, Flash Player와 같은 응용프로그램의 보안패치도 중요하지만 최근 편리성으로 인해 사용이 잦아진 ▶단축주소(Short URL)에 대해 위에서 설명한 확인방법 등을 참고하여 활용한다면 더욱 안전하게 PC를 사용하는 방법이 될 수 있다. 물론 ▶신뢰할 수 있는 백신 사용과 최신 엔진 및 패턴 버전을 위한 업데이트 생활화는 기본이다.
'최신 보안 동향' 카테고리의 다른 글
신년 인사와 관련하여 스팸메일을 통한 악성파일 유포 사례 (0) | 2010.12.31 |
---|---|
크리스마스 관련 내용으로 악성파일을 첨부한 이메일 해외 발견 (1) | 2010.12.23 |
올림픽성화를 키워드로 한 존재하지 않는 허위 보안정보 전파 주의 (0) | 2010.12.15 |
ARP Spoofing 악성파일 확산에 따른 예방 조치법 (0) | 2010.12.15 |
크리스마스관련 악성파일 유포 해외 보고, 주의 필요! (1) | 2010.12.15 |