AntiVirus XP 2008 Fake Anti-Virus FAQ 질문 1. AntiVirus XP 2008 은어떤프로그램인가요? Antivirus 2008 은시스템에설치될경우시스템을검사하여악성코드에감염된것처럼허위로검사결과를사용자에게보여주고 치료하기위해서결제를유도함으로써금전적이득을취하기위한허위백신이다. 질문 2. AntiVirus XP 2008 은어떤경로를통해유포되나요? AntiVirus 2008 은아래경우처럼사회공학기법을사용하여유명연애인 ( 안젤리나졸리, 브리트니스피어스, 린제이로한 ) 또는 언론사 (CNN) 그리고정치 ( 부시 ) 등과관련된내용으로위장하여스팸메일의링크또는첨부파일형태로유포된다. 예1) 첨부파일형태의경우 - 제목 : Anjelina Jolie Free Video. - 본문 : 없음 - 첨부파일 : Angelina_Jolie.rar 예 2) 링크형태의경우 1 - 제목 : Lindsay Lohan and Paris Hilton lesbian video - 본문 : Click Here! (http://017cb18.net******st.com/index_12.html) 예 3) 링크형태의경우 2 - 제목 : Special video for plugins - 본문 : Be the first to watch it(http://017cb18.net******st.com/index_12.html) 예 4) 링크형태의경우 3 - 제목 : Britney did it again! Really funny. - 본문 : Click Here!( http://www.des*******.com/index_12.html) [ 그림 1. 동영상으로위장한 AntiVirus XP 2008] 사용자가링크를클릭할경우링크된사이트로이동하여메일내용과관련된동영상을재생하는것처럼 [ 그림 1.] 을보여주며 동영상을재생하기위해서는 [ 그림 2] 처럼 Codec 을다운로드하도록유도한다.
[ 그림 2. Codec 으로위장한 AntiVirus XP 2008] AntiVirus XP 2008 은 [ 그림 2] 처럼 Video codec Error 란가짜메시지창을출력하고사용자로하여금 Codec 을다운로드하 도록유도하며관련웹페이지소스를보면아래와같다. [ 그림 3. 다운로드관련웹페이지소스 ] [ 그림 3] 을보면 Continue를클릭하면 install.exe 가다운로드되지만 Cancel 를클릭할경우 Close() 함수를호출하여 "Click 'OK' to download and install media codec." 및 Click 'OK' to download and install media codec. 라는경고창을계속출력하게된다. 또한 Details를클릭하면 Details() 함수를호출, "Click 'OK' to download and install media codec." 를출력하고 install.exe 를다운로드하도록유도한다. 질문3. AntiVirus XP 2008를다운로드하지않았는데도설치되요! AntiVirus XP 2008은사용자가링크로부터파일을다운로드한후실행해야지만설치되는것은아니며이는사용자를속이기위한하나의위장수단이다. AntiVirus XP 2008 가유포되는사이트의웹페이지소스를보면 Exploit을통해서시스템에 AntiVirus XP 2008이다운로드및설치될수있도록 iframe이삽입되어있음을알수가있다. [ 그림 4. 삽입된 iframe]
* AntiVirus XP 2008 가유포시자주사용하는취약성을살펴보면다음과같다. COM 개체 (Msdds.dll) 로인한 Internet Explorer 의예상치못한종료 EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F http://www.microsoft.com/korea/technet/security/bulletin/ms05-052.mspx MDAC(Microsoft Data Access Components) 기능의취약점으로인한원격코드실행문제점 BD96C556-65A3-11D0-983A-00C04FC29E36 http://www.microsoft.com/korea/technet/security/bulletin/ms06-014.mspx Microsoft Access Snapshot Viewer 에서사용하는 ActiveX 컨트롤의취약점으로인한원격코드실행문제점 F0E42D50-368C-11D0-AD81-00A0C90DC8D9 http://www.microsoft.com/korea/technet/security/bulletin/ms08-041.mspx Online Media Technologies NCTsoft NCTAudioFile2 ActiveX buffer overflow 77829F14-D911-40FF-A2F0-D11DB8D6D0BC http://www.kb.cert.org/vuls/id/292713 RealNetworks RealPlayer ActiveX controls property heap memory corruption 2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93 http://www.kb.cert.org/vuls/id/831457 위에서언급된취약성외에도다양한취약성을사용할수있으므로자신이사용하는 OS 및소프트웨어를주기적으로점검및 보안패치를적용해주는것이좋다. 질문 4. AntiVirus XP 2008 가설치되면시스템에어떤증상이발생하나요? AntiVirus XP 2008 가설치되었을경우대표적인증상을정리해보면다음과같다. (4-1) 바탕화면이변경됐어요! AntiVirus XP 2008 은자신이생성한그림파일을사용하여아래그림처럼시스템의바탕화면으로설정한다. ( 참고로그림파일은가변적이다.) [ 그림 5. 변경된바탕화면 ] 또한사용자가바탕화면을변경할수없도록레지스트리를변경하여 [ 그림 7] 에서보는것처럼바탕화면관련메뉴를안보이게 한다.
[ 그림 6. AntiVirus XP 2008 감염전 ] [ 그림 7 AntiVirus XP 2008 감염후 ] SpyZero 에서는 AntiVirus XP 2008 관련파일을진단및치료할수있는경우에한하여변경된레지스트리값을복원시켜준다. 만약사용자가수동으로복구를하고자할경우아래내용을참조하면된다. * 바탕화면메뉴관련레지스트리복구방법 : 시작 -> 실행 -> regedit.exe -> 레지스트리편집기실행 -> 아래경로로이동한후해당값들을선택한후마우스오른쪽 버튼을클릭하여삭제하거나아래와같이수정하면 [ 그림 6] 처럼복원할수있다 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System NoDispBackgroundPage="0x00000001" 에서 "0x00000000" 로수정 NoDispScrSavPage="0x00000001" 에서 "0x00000000" 로수정 (4-2) 주기적으로허위검사결과및팝업이출력되요!~ [ 그림 8. 허위검사화면 ] [ 그림 9. 시스템트레이팝업 ] AntiVirus XP 2008 의대표적인증상으로주기적으로검사결과및시스템트레이에팝업을보여줌으로써사용자에게불안감조 성및치료를위한결제를유도한다. (4-3) 화면보호기파일을이용한 Joke Blue Screen 발생해요!~ AntiVirus XP 2008 은정상화면보호기파일을사용하여일정시간이지나면아래처럼 Joke Blue Screen 및부팅화면을반복한 다.
[ 그림 10. 가짜블루스크린 ] [ 그림 11. 가짜부팅화면 ] [ 그림 10] 에서보면 Blue Screen 원인이되는파일은임의로변경되며실제해당파일에문제가있는것은아니지만위두그 림만놓고보면사용자입장에서는마치자신의시스템에문제가있는것으로충분히오해할수있는소지가있다. (4-4) 내컴퓨터에들어가보면드라이브가안보여요!~ 현재 AntiVirus XP 2008 은수많은변종이존재하는데일부변종에서는드라이브의속성이 Fixed( 보통, HDD) 일경우사용자가 볼수없도록숨기는경우도있다. [ 그림 12. 변경전과후 ]
* 드라이브속성복구방법 : 시작 -> 실행 -> gpedit.msc 를입력한후확인 -> 그룹정책편집기실행 -> 사용자구성 -> 관리템플릿 -> Windows 탐 색기 -> [ 내컴퓨터 ] 에있는지정된드라이브숨기기더블클릭 -> 사용안함 (D) -> 적용 -> 구성되지않음 (C) -> 적용 (4-5) 시스템복원해도 AntiVirus XP 2008이재감염되요! AntiVirus XP 2008은 %Temp% 폴더에 VBS(Visual Basic Script) 로작성된스크립트를생성및실행하여시스템복원이사용중이라면복원기능을비활성화하여기존의복원시점을삭제한후재활성화시킨후복원시점을 AntiVirus XP 2008이설치된시점으로설정한다. 이렇게되면사용자가시스템복원기능을사용하여복구하더라도계속재감염되는문제가발생하므로일시적으로시스템복원 기능을해제하여복원시점을초기화시킨후백신으로치료하고복원시점을재설정해야한다. (4-6) 시스템복원기능을사용할수없어요! AntiVirus XP 2008 의일부변종은사용자가시스템복원기능을제어할수없도록아래그림처럼그룹정책을조작하여시스템 복원시점을초기화할수없도록비활성화시킨다. [ 그림 13] 시스템복원시점초기화불가 * [ 시스템복원사용안함 ] 옵션이비활성화된경우복구방법 : 시작 -> 실행 -> gpedit.msc 를입력한후확인 -> 그룹정책편집기실행 -> 컴퓨터구성 -> 관리템플릿 -> 시스템 -> 시스템복구 -> 구성을사용하지않음더블클릭 -> 사용안함 (D) -> 적용 -> 구성되지않음 (C) -> 적용 만약그룹정책편집기실행이불가능하다면아래방법을사용하여시스템복원모니터링을사용안함으로설정할수있다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\ DisableSR="1" 로설정 (4-7) 바탕화면아이콘이사라졌어요!~ AntiVirus XP 2008 의일부변종은바탕화면의아이콘표시기능을해제하여안보이도록한다. * 바탕화면아이콘복구방법 : 바탕화면에서마우스오른쪽버튼클릭 -> 아이콘정렬순서 (I) -> 바탕화면아이콘표시 (D) 를클릭하면사라졌던바탕화면아 이콘을복구할수있다.
[ 그림 14. 사라진바탕화면아이콘 ] (4-8) 특정사이트에접속하면 AntiVirus XP 2008 사이트로이동해요!~ 사용자가특정사이트에접속할경우간헐적으로해당사이트를차단하고아래그림처럼경고메시지를출력한다. [ 그림 15. 특정사이트차단 ] * 사이트차단목록 mac.com/nytimes.com/download.com/gamespot.com/partypoker.com/mediafire.com/geocities.com/ 56.com/ about.com/deviantart.com/yourfilehost.com/apple.com/adobe.com/imagevenue.com/livejournal.com/ go.com mininova.com/redtube.com/craigslist.com/tinyurl.com/adultfriendfinder.com/skyrock.com/friendster.com flickr.com/wordpress.com/youporn.com/imdb.com/amazon.com/photobucket.com/aol.com/hi5.com/ebay.com/rapid share.com/orkut.com/blogger.com/facebook.com/wikipedia.org/microsoft.com/myspace.com/msn.com/live.com/ya hoo.com/google.com/ megaupload.com [ 그림 15] 에서보이는두링크를클릭할경우 [ 그림 16] 처럼 AntiVirus XP 2008 구매사이트로접속을유도한다.
[ 그림 16. AntiVirus XP 2008 구매사이트 ]