1. 개 요
최근 까지 다양한 기법으로 지속적인 출현을 거듭해온 FakeAV(허위 백신 제품)가 이번에는 Mac OS 에서 동작하는 버전이 등장해 사용자들의 주의를 요망하고 있다. 허위 백신 제품의 경우 해외를 중심으로 전파가 이루어지고 있으나. 최근 애플(Apple)사의 제품들이 국내에서 큰 인기를 누리고 있는 만큼 국내에도 유입 및 피해 사례가 발생할 수 있다. 때문에 Mac OS 기반 제품 사용자들은 이번 글을 통해 해당 FakeAV에 대해 알아보고 혹시 있을지 모를 피해에 대비할 수 있는 시간을 가져볼 수 있도록 하자.
[MacDefender fake AV security software tops Apple Mac user woes]
☞ http://www.computerweekly.com/Articles/2011/05/20/246730/MacDefender-fake-AV-security-software-tops-Apple-Mac-user.htm
[Mac users hit with fake anti-virus when using Google image search]
☞ http://nakedsecurity.sophos.com/2011/05/02/mac-users-hit-with-fake-av-when-using-google-image-search/
☞ 애플 커뮤니티 사이트 : http://macdefender.org/
이번에 발견된 Mac 기반 동작 FakeAV의 경우 독일의 애플 커뮤니티 사이트와 유사한 이름을 사용하고 있으며, 해당 사이트에서는 피해 방지를 위해 이번 허위 백신과 아무런 관련이 없다는 공지를 띄우고 있다.
2. 감염 경로 및 증상
해당 허위 백신은 검색엔진최적화(Search Engine Optimization)기법을 통해 유포될 수 있다. 또한, 이메일의 첨부 파일이나 SNS 및 인스턴트 메신저 등의 링크 접속을 통해서도 다운로드 될 수 있으며 Mac OS에서는 다운로드와 동시에 패키지 설치가 진행될 수 있다.
해당 허위 백신의 다운로드가 완료되면 아래의 그림과 같이 패키지 설치 과정을 거치는 창을 볼 수 있으며, 설치 시 Root 권한을 필요로 하기 때문에 관리자 계정 암호를 물을 수도 있으니 참고할 수 있도록 하자.
위의 설치 과정이 완료되면 아래의 그림과 같이 곧바로 허위 백신이 실행되어 스캔을 시작한다.
감염에 사용된 맥북에는 설치되어 있는 어플리케이션이 거의 존재하지 않음에도 불구하고 기타 다른 허위 백신과 유사하게 엄청난(?) 진단기능을 보여주고 있다.
위의 그림에서 확인 할 수 있는 허위 감염 사실 해결을 위해 "Cleanup" 버튼을 클릭하면 아래의 그림과 같이 제품 사용을 위한 등록 요구 창을 볼 수 있다.
위 그림에서 볼 수 있는 "Register" 버튼을 클릭하게 되면 아래의 그림처럼 다른 허위 백신과 동일하게 신용카드 등을 이용한 결재 유도 창을 볼 수 있다.
위에서 설명한 허위 진단 사실 및 결재 유도 창을 확인 후 절대로 결재하는 실수를 해서는 안된다. 진단 화면은 실제 악성파일에 감염되어 뜨는 것이 아니라 결재를 유도하기 위한 허위 진단 결과이므로 결재를 한다고 해도 절대로 백신(?)의 효과를 기대할 수 없으니 반드시 주의할 수 있도록 하자.
- macprotector.pkg
- macProtectorInstallerProgramPostflight.pkg
- macsecurity.pkg
- macSecurityInstallerPostflight.pkg
- MacDefender.mpkg
- macdefenderSetupPostflight.pkg
3. 예방 및 조치 방법
현재 Mac OS를 지원하는 백신은 그리 많지 않은 것으로 파악되고 있으나, 외산 백신의 경우 Mac OS에서 사용되는 사례가 많은 만큼 위와 같은 허위 백신으로부터 안전하기 위해서는 반드시 하나 이상의 백신을 설치해 사용하는 것을 권장한다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]국내 소셜커머스 웹 사이트 변조로 악성파일 다량 전파 (0) | 2011.06.15 |
---|---|
[주의]한글 문서 파일로 위장한 지능화된 악성 파일 증가 (0) | 2011.06.08 |
Ransomware의 지속적인 출현과 대응 방법 (2) | 2011.05.18 |
[주의] 제우스(Zeus) 소스 암호 해독 버전 트위터 통해 빠르게 전파 중 (0) | 2011.05.11 |
YouTube로 위장한 사이트에서 유포 중인 악성파일 발견 (0) | 2011.05.11 |