1. 개 요
[ 참고 : Fake anti-virus attack spreads on Twitter via goo.gl links ]
http://nakedsecurity.sophos.com/2011/01/20/fake-anti-virus-attack-twitter-via-goo-gl-links/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29
[ 참고 : New Twitter worm redirects to Fake AV ]
http://www.securelist.com/en/blog/11136/New_Twitter_worm_redirects_to_Fake_AV
http://nakedsecurity.sophos.com/2011/01/20/fake-anti-virus-attack-twitter-via-goo-gl-links/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29
[ 참고 : New Twitter worm redirects to Fake AV ]
http://www.securelist.com/en/blog/11136/New_Twitter_worm_redirects_to_Fake_AV
2. 감염경로 및 증상
해당 허위백신은 아래의 그림처럼 트위터 등의 SNS를 통해 유포되는 것으로 알려졌으며, 단축주소와 같은 변형주소의 클릭을 통해 유포되는 방식 등을 취하고 있는 것으로 보고되었다. 특히 Google 단축주소를 사용하고 있기 때문에 일반 사용자들은 별 의심 없이 무심코 클릭하여 감염될 수 있다.
위 그림과 같은 단축주소 URL을 클릭하게 되면 허위백신을 다운로드 할 수 있는 주소로 Redirect 될 수 있으며, 다운로드 후 허위백신이 실행되면 하기의 그림과 같이 허위백신에 대한 설치완료 경고창이 출력된다.
확인버튼을 클릭하게 되면 하기의 그림과 같이 허위백신의 메인화면 및 악성파일에 감염되었다는 허위 경고창을 보여준다.
발견된 허위 보안 위협에 대한 치료를 진행하게 되면 하기의 그림과 같이 결제창을 보여주는 등 금전적 이득을 목적으로 한 일반적인 허위백신의 감염증상을 보인다.
3. 예방 조치 방법
이러한 형태의 허위 백신 등은 사용자의 PC가 악성파일에 감염된 것으로 속여 결제금액 과금 등의 금전적 피해를 유발할 수 있다. 더욱이 이번에 발견된 허위 백신은 많은 사람들이 이용하고 있는 트위터 등의 SNS를 유포경로로 사용하고 있기 때문에 사용자 스스로 주의를 기울여야 할 필요가 있다.
요즘 SNS, 이메일 등 많은 매체에서 편의성에 따라 단축주소와 같은 변환주소를 더러 사용하고 있다. 이러한 ▶단축주소는 사용자들이 당장 육안으로 악의적인 사이트인지 정상 사이트인지 판별이 어렵기 때문에 사용자들은 반드시 의심이 가거나 출처가 불분명한 주소로 접속할 시 주의해야 할 필요가 있다. 더불어 ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트 하여 사용함과 동시에 실시간 감시 기능을 항상 "ON" 상태로 유지하는 것이 이러한 위협으로부터 안전할 수 있는 최선의 방법이 될 수 있을 것이다.
※ nProtect Anti-Virus 제품군에서는 이번에 보고된 허위백신에 대해 하기와 같이 진단/치료 기능을 제공하고 있다.
'최신 보안 동향' 카테고리의 다른 글
| 제우스(Zeus) 봇넷 VS 스파이아이(SpyEye) 봇넷 (0) | 2011.01.28 |
|---|---|
| 웹 취약점을 겨냥하고 네이트온 쪽지로 전파된 악성 파일 주의 (0) | 2011.01.24 |
| 클라우드 기반의 Anti-Virus 동작을 방해하는 악성파일 출현 보고! (0) | 2011.01.19 |
| 국내 일부 인터넷 쇼핑몰, 웹하드 사이트 악성파일 유포 주의 (0) | 2011.01.18 |
| 개인 정보 유출을 목적으로 하는 악성파일의 진화!! (1) | 2011.01.17 |