2008.09.18 안철수연구소, 외국 가짜백신 '안티바이러스XP2008' 치료하는 전용백신 무료 제공

안철수연구소는 최근 외국 가짜백신의 변종과 함께 설치돼 많은 피해를 주고 있는 악성코드인 ‘페이크AV.31744(Fakeav.31744)’를 진단/치료할 수 있는 전용백신 ‘V3 Kill for Fakeav.31744’를 개발해 웹사이트에서 무료 제공하고 있습니다.

이번 전용백신은 급속히 증가하는 외산 가짜백신의 위협으로부터 일반 사용자의 컴퓨터 피해를 방지하고 인터넷 환경을 보호하기 위해 긴급히 제작, 배포하는 것으로, ‘페이크AV.31744’에 대해 전용백신 형태로 제공하는 것은 국내외 보안 업계에서 안철수연구소가 처음이라고 할 수 있습니다.

 

‘페이크AV.31744’는 가짜백신 프로그램인 ‘안티바이러스XP2008(AntiVirusXP2008)’의 일부 변종과 함께 설치돼 스팸 메일을 발송하거나 다른 악성코드를 설치합니다. ‘페이크AV.31744’는 백신의 진단/치료를 막기 위해 자신에게 접근(엑세스)하지 못하게 막는 기법을 썼기 때문에 진단 및 삭제는 물론 이동 및 복사조차 불가능한데, 이 때문에 일부 백신은 진단조차 못하거나 진단만 하고 치료를 못하는 상황입니다.

 

안철수연구소는 이번에 ‘페이크AV.31744’처럼 자기 보호 기법을 쓰는 악성코드에 대응하기 위한 기술을 개발해 전용백신으로 제공하는데, 이 기술은 이번부터 전용백신에 탑재돼온 은폐형 악성코드 진단/치료 기술인 ‘트루파인드(TrueFind)’ 기술에 추가돼 앞으로 지능적인 악성코드에 대응할 예정입니다.  또한 이번에 개발한 ‘트루파인드(TrueFind)’ 기술을 추후 ‘V3 365 클리닉 2.0’을 비롯해 모든 V3 제품군에 적용할 계획입니다.

 

안철수연구소는 급속히 확산돼 많은 피해를 일으킬 소지가 있는 악성코드에 대해 전용 백신을 별도로 개발해 무료 배포해오고 있습니다. 최근 피해가 많은 ARP 스푸핑(ARP Spoofing), 바이럿(Win32/Virut), 루트킷(Win-Trojan/Rootkit), 베이글(Win-Trojan/Bagle) 등의 전용백신을 비롯해 50개에 달하는 전용백신을 제공하고 있습니다.  

 

*가짜백신 ‘안티바이러스XP2008’의 특징

 

가짜백신 프로그램인 ‘안티바이러스XP2008’은 올해 하반기 들어 국내외에서 가장 큰 피해를 일으키고 있으며, 안철수연구소 시큐리티대응센터(ASEC)에 들어온 신고 건수만 8월 한 달 동안 100건이 넘었다. 변종이 약 200개에 달하며 ‘안티바이러스XP2009’도 등장했다.

 

이 가짜백신의 특징은 사용자의 불안감을 자극해 비용 결제를 유도한다는 점이다. 우선 설치 과정에서 배경 화면 변경, 보안 설정 변경, 블루스크린 스크린 세이버 설정 등으로 컴퓨터를 정상적으로 이용할 수 없게 한다. 사용자가 원래대로 설정을 돌려놓지 못하게 디스플레이 등록 정보의 배경 이미지와 스크린 세이버 설정 탭을 안 보이게 변경한다.

 

또한 다른 가짜백신은 단순히 과장되거나 거짓 진단 결과를 보여주는 데 그치지만, ‘안티바이러스XP2008’는 인터넷 익스플로러, 작업표시줄의 트레이 아이콘, 시스템 오류 메시지 등을 이용해 악성코드에 감염됐다는 메시지를 보여줌으로써 사용자를 불안하게 만든다. 사용자는 불안한 마음에 비용 결제 요구에 응하게 된다.

 

또한 ‘안티바이러스XP2008’는 설치 경로가 다양해 재감염의 가능성이 높다. 첫째, 동영상 코덱으로 위장해 성인 사이트 중심으로 확산되는 스파이웨어인 즐롭(Zlob)에 포함되어 설치된다. 둘째, 이미 설치된 다른 악성코드가 특정 서버에 접속해 내려받기도 한다. 이런 경우 부팅 때마다 또는 일정 시간마다 악성코드를 설치하기 때문에 한번 진단/치료를 해도 재감염이 반복돼 근절하기가 쉽지 않다.