발신인 불명확한 메일·안전성이 확인 없는 곳에서 파일 받지 말아야

[보안뉴스 김태형] 다양한 이름으로 유포되고 있는 허위백신들이 많이 존재한다. 이러한 허위백신은 사용자의 컴퓨터 사용을 불편하게 하고 있다.

안랩 시큐리티대응센터(이하 ASEC)는 “지난 6월에 발견된 허위백신 Live Security Platinum의 모양은 보통의 보안제품과 유사한 형태를 갖고 있었으며 7월에 발견된 변종도 유사한 형태를 갖고 있다”고 밝혔다.

        ▲ 6월과 7월에 발견된 Live Security Platium 허위백신

이번에 발견된 허위백신은 독일 우편 배송 업체를 위장한 e-mail 을 통해서 유포되었다. e-mail 본문에는 우편 주소로 전달하는데 실패했고 첨부된 파일을 확인하라는 내용이다. 첨부된 zip 파일을 압축해제 하면 pdf 아이콘으로 위장한 파일이 존재한다.

ASEC측은 “이 파일을 실행하게 되면 파일이 생성되고 실행된다. 파일 생성과 더불어 바탕화면에 아이콘을 생성하고 프로그램 목록에 자신을 등록한다. 이후 시스템이 악성코드에 감염된 것처럼 사용자에게 허위정보를 보여준다”면서 “허위 감염정보는 지난 6월과 동일하며 지원하는 언어로 보아 6개 국가를 타깃으로 제작된 것으로 추정되나 국내에도 감염자가 존재한다”고 설명했다.

또한 “사용자가 치료를 하려고 하면 ‘Activate’를 팝업시킨다. YES를 선택하면 결제를 유도하는 팝업창이 나타난다. 특징적인 것은 한 달 사이에 가격이 많이 상승했다”고 덧붙였다.

이러한 허위백신의 대표적인 특징 중에 하나는 결제를 하지 않으면 주기적으로 Alert 창을 발생시켜 사용자의 컴퓨터 사용을 불편하게 한다는 것.

ASEC측은 “이러한 파일에 대한 수동조치 방법은 악성 프로세스를 종료하고 생성된 파일을 삭제하면 된다. 다만 악성코드에 의하여 작업관리자가 실행되지 않으므로 작업관리자(taskmgr)의 파일명을 ‘explorer’로 변경해 실행 후 악성프로세스를 종료/삭제하면 된다.

이러한 허위백신은 스팸메일을 통하여 유포되거나 파일공유사이트와 같은 안전성이 확인되지 않은 공유 공간에서 유포가 이루어지는 경우가 많다. 사용자들은 발신인이 불명확한 메일이나 안전성이 확인되지 않은 곳에서 파일을 다운로드 받지 않는 습관을 가져야 한다.

V3 제품군의 진단명은 다음과 같다.

·Trojan/Win32.FakeAV

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>