최신 보안 동향

구글 단축주소를 이용해 유포중인 트위터 웜 해외 확산 주의

TACHYON & ISARC 2011. 1. 21. 10:24

1. 개 요


해외시각으로 2011년 1월 20일 해외 보안 업체 등을 통해 트위터 웜이라는 제목하의 허위백신(Fake AV) 유포 사례가 보고되어 Social Network Service(SNS) 사용자들의 주의가 요구되고 있다. 많은 사용자를 보유하고 있는 SNS인 트위터를 통해 해당 사례가 발견되어 피해가 더욱 클 것으로 예상되며, 유포방식으로 Google 단축주소를 활용한 점이 특징이다.

2. 감염경로 및 증상

해당 허위백신은 아래의 그림처럼 트위터 등의 SNS를 통해 유포되는 것으로 알려졌으며, 단축주소와 같은 변형주소의 클릭을 통해 유포되는 방식 등을 취하고 있는 것으로 보고되었다. 특히 Google 단축주소를 사용하고 있기 때문에 일반 사용자들은 별 의심 없이 무심코 클릭하여 감염될 수 있다.

http://isc.sans.edu/diary.html?storyid=10297


위 그림과 같은 단축주소 URL을 클릭하게 되면 허위백신을 다운로드 할 수 있는 주소로 Redirect 될 수 있으며, 다운로드 후 허위백신이 실행되면 하기의 그림과 같이 허위백신에 대한 설치완료 경고창이 출력된다.


확인버튼을 클릭하게 되면 하기의 그림과 같이 허위백신의 메인화면 및 악성파일에 감염되었다는 허위 경고창을 보여준다.


발견된 허위 보안 위협에 대한 치료를 진행하게 되면 하기의 그림과 같이 결제창을 보여주는 등 금전적 이득을 목적으로 한 일반적인 허위백신의 감염증상을 보인다.


3. 예방 조치 방법

이러한 형태의 허위 백신 등은 사용자의 PC가 악성파일에 감염된 것으로 속여 결제금액 과금 등의 금전적 피해를 유발할 수 있다. 더욱이 이번에 발견된 허위 백신은 많은 사람들이 이용하고 있는 트위터 등의 SNS를 유포경로로 사용하고 있기 때문에 사용자 스스로 주의를 기울여야 할 필요가 있다.

요즘 SNS, 이메일 등 많은 매체에서 편의성에 따라 단축주소와 같은 변환주소를 더러 사용하고 있다. 이러한 ▶단축주소는 사용자들이 당장 육안으로 악의적인 사이트인지 정상 사이트인지 판별이 어렵기 때문에 사용자들은 반드시 의심이 가거나 출처가 불분명한 주소로 접속할 시 주의해야 할 필요가 있다. 더불어 ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트 하여 사용함과 동시에 실시간 감시 기능을 항상 "ON" 상태로 유지하는 것이 이러한 위협으로부터 안전할 수 있는 최선의 방법이 될 수 있을 것이다.

※ nProtect Anti-Virus 제품군에서는 이번에 보고된 허위백신에 대해 하기와 같이 진단/치료 기능을 제공하고 있다.