1. 개요
1-1. 사회 공학적 기법을 이용한 허위 보안 프로그램 유포 사례 관련 정보
2. 유포 및 감염 과정
다운로드 되어진 허위 보안 프로그램은 Adobe Flash Player의 정상 설치 파일인 것처럼 파일명이 교묘하게 위장되어진 상태이며, 이로 인하여 사용자가 주의깊게 확인하지 않는 한 정상적인 설치파일로 판단할 수 있다.
위 그림과 같이 Adobe_FlashPlayer_10.1.305.31.exe 파일이 실행되면 악성으로 확인되어지는 파일에 대한 허위 진단화면을 다음과 같이 보여주게 되며, Microsoft에서 제공되는 것으로 위장한 중요 보안 경고창을 보여주게 된다.
"Apply action" 버튼을 클릭해야 위와 같은 보안위협을 제거할수 있음을 알리고 있으며, "Apply action" 버튼을 누르게 되면 아래의 그림과 같이 허위 보안 프로그램 설치 준비 과정이 진행되게 된다.
"Install" 버튼을 누르게 되면 현재 정상적으로 프로그램이 설치되어지고 있음을 알리는 설치 진행 상황을 보여주게 된다.
모든 설치가 정상적으로 완료되었으며 그에 따른 컴퓨터 재부팅을 요구한다.
재부팅 이후 윈도우 시작시 "Protected Mode"란 화면으로 전환하게 되며 허위 보안 프로그램이 실행되면서 시스템 전체 검사를 수행 하게 된다. 현재 "Windows Optimization Center"란 프로그램명과 함께 일반 사용자들이 정상적인 프로그램으로 착각할 수 있도록 제작되어져 있다.
모든 시스템 검사과정이 완료되면 아래의 그림과 같이 허위 진단 결과 화면을 사용자에게 보여 주게 된다.
허위 진단 파일에 대하여 치료가 가능하도록 라이선스 구입을 요구하는 요금 결제창으로 전환하게 된다.
3. 감염 증상
다운로드된 Adobe_FlashPlayer_10.1.305.31.exe 악성 파일이 실행되면 아래와 같은 경로에 특정 파일을 생성하게 된다.
또한, 아래와 같이 레지스트리 값을 수정하여 윈도우 시작 시 재 실행 되도록 한다.
4. 예방 조치 방법
이러한 형태의 외산 허위 보안 프로그램은 거짓 악성파일 감염 내용이나 시스템 경고 메시지를 사용자에게 보여주고 현혹시켜, 소액 과금 결재 등을 통한 금전적 피해를 입힐 가능성이 높다.
특히, 정상적인 응용프로그램 등을 악성 파일로 오진단하는 경우도 종종 발생하고 있기 때문에 신뢰할 수 없는 프로그램의 사용에 각별한 주의가 필요하며, 허위 보안 프로그램 등이 점차 지능화되고 있다는 점도 유념해야 할 부분이다.
더불어 정상적인 보안 제품에 대한 신뢰도에도 직간접적으로 영향을 끼치고 있어 사회적인 문제로 대두되고 있다.
현재 잉카인터넷 대응팀에서는 이와 관련한 다양한 변종의 악성 프로그램에 대하여 진단 및 치료 기능을 제공하고 있으며, 다양하게 발생 가능한 사이버 위협에 대비하여 비상대응 체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면
1-1. 사회 공학적 기법을 이용한 허위 보안 프로그램 유포 사례 관련 정보
[한글판 외산 허위 Anti-Virus 제품 주의]
출처 : http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=85&page=2&field=&field_value=
[트위터(Twitter)를 통한 허위 백신 유포 주의]
출처 : http://erteam.nprotect.com/94
[北, 연평도 포격과 관련한 사이버 위협 대응태세 유지]
출처 : http://erteam.nprotect.com/77
출처 : http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=85&page=2&field=&field_value=
[트위터(Twitter)를 통한 허위 백신 유포 주의]
출처 : http://erteam.nprotect.com/94
[北, 연평도 포격과 관련한 사이버 위협 대응태세 유지]
출처 : http://erteam.nprotect.com/77
2. 유포 및 감염 과정
다운로드 되어진 허위 보안 프로그램은 Adobe Flash Player의 정상 설치 파일인 것처럼 파일명이 교묘하게 위장되어진 상태이며, 이로 인하여 사용자가 주의깊게 확인하지 않는 한 정상적인 설치파일로 판단할 수 있다.
위 그림과 같이 Adobe_FlashPlayer_10.1.305.31.exe 파일이 실행되면 악성으로 확인되어지는 파일에 대한 허위 진단화면을 다음과 같이 보여주게 되며, Microsoft에서 제공되는 것으로 위장한 중요 보안 경고창을 보여주게 된다.
"Apply action" 버튼을 클릭해야 위와 같은 보안위협을 제거할수 있음을 알리고 있으며, "Apply action" 버튼을 누르게 되면 아래의 그림과 같이 허위 보안 프로그램 설치 준비 과정이 진행되게 된다.
"Install" 버튼을 누르게 되면 현재 정상적으로 프로그램이 설치되어지고 있음을 알리는 설치 진행 상황을 보여주게 된다.
모든 설치가 정상적으로 완료되었으며 그에 따른 컴퓨터 재부팅을 요구한다.
재부팅 이후 윈도우 시작시 "Protected Mode"란 화면으로 전환하게 되며 허위 보안 프로그램이 실행되면서 시스템 전체 검사를 수행 하게 된다. 현재 "Windows Optimization Center"란 프로그램명과 함께 일반 사용자들이 정상적인 프로그램으로 착각할 수 있도록 제작되어져 있다.
모든 시스템 검사과정이 완료되면 아래의 그림과 같이 허위 진단 결과 화면을 사용자에게 보여 주게 된다.
허위 진단 파일에 대하여 치료가 가능하도록 라이선스 구입을 요구하는 요금 결제창으로 전환하게 된다.
3. 감염 증상
다운로드된 Adobe_FlashPlayer_10.1.305.31.exe 악성 파일이 실행되면 아래와 같은 경로에 특정 파일을 생성하게 된다.
[감염시 생성파일]
(사용자 계정 폴더)C:\Documents and Settings\Administrator\Application Data\protect.exe
[참고사항]
- (사용자 계정 폴더)란 일반적으로 C:\Document and Settings\(사용자 계정)\Application Date 이다.
(사용자 계정 폴더)C:\Documents and Settings\Administrator\Application Data\protect.exe
[참고사항]
- (사용자 계정 폴더)란 일반적으로 C:\Document and Settings\(사용자 계정)\Application Date 이다.
또한, 아래와 같이 레지스트리 값을 수정하여 윈도우 시작 시 재 실행 되도록 한다.
[윈도우 시작시 함께 실행될 수 있도록 레지스트리 값 등록]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : “Windows Optimization Center”
- 값 데이터 : "C:\Document and Settings\Administrator\Application Data\protect.exe"
[HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon]
- 값 이름 : "Shell"
- 값 데이터 : "C:\Document and Settings\Administrator\Application Data\protect.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- 값 이름 : “Windows Optimization Center”
- 값 데이터 : "C:\Document and Settings\Administrator\Application Data\protect.exe"
[HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon]
- 값 이름 : "Shell"
- 값 데이터 : "C:\Document and Settings\Administrator\Application Data\protect.exe"
4. 예방 조치 방법
이러한 형태의 외산 허위 보안 프로그램은 거짓 악성파일 감염 내용이나 시스템 경고 메시지를 사용자에게 보여주고 현혹시켜, 소액 과금 결재 등을 통한 금전적 피해를 입힐 가능성이 높다.
특히, 정상적인 응용프로그램 등을 악성 파일로 오진단하는 경우도 종종 발생하고 있기 때문에 신뢰할 수 없는 프로그램의 사용에 각별한 주의가 필요하며, 허위 보안 프로그램 등이 점차 지능화되고 있다는 점도 유념해야 할 부분이다.
더불어 정상적인 보안 제품에 대한 신뢰도에도 직간접적으로 영향을 끼치고 있어 사회적인 문제로 대두되고 있다.
현재 잉카인터넷 대응팀에서는 이와 관련한 다양한 변종의 악성 프로그램에 대하여 진단 및 치료 기능을 제공하고 있으며, 다양하게 발생 가능한 사이버 위협에 대비하여 비상대응 체계를 유지하고 있다.
※ nProtect Anti-Virus/Spyware 2007 제품으로 진단한 화면
'최신 보안 동향' 카테고리의 다른 글
| 페이스북 서비스 종료에 대한 허위 정보 전파 해외 보고 (0) | 2011.01.10 |
|---|---|
| ZeuS 변종 Kneber 봇넷의 백악관 사칭 이메일을 통한 유포 주의! (0) | 2011.01.07 |
| 악성파일 유포를 위해 Microsoft로 가장한 이메일 해외 유포 주의 (0) | 2011.01.05 |
| 페이스북(Facebook) 통한 스팸기능의 어플리케이션 유포 주의! (0) | 2011.01.04 |
| 신년 인사와 관련하여 스팸메일을 통한 악성파일 유포 사례 (0) | 2010.12.31 |