클라우드 백신 틈에 낀 먹구름, 허위백신

2011.09.27

 

안녕하세요. 안랩인입니다.

오늘은 클라우드 백신으로 위장한 먹구름 같은 존재! 허위 백신에 대해서 소개하고자 합니다. 전 세계적으로 악성코드의 급격한 증가는 이에 대응하기 위해 보안 업체들로 하여금 다양한 보안 기술들을 연구하고 발전시키게 되는 하나의 계기가 되었습니다.

이러한 보안 기술들의 괄목한 발전 중 하나로는 클라우드(Cloud) 기술을 안티 바이러스(Anti-Virus) 기술로 발전시켜서 발전 시킨 것이라고 볼 수 있습니다. 이러한 클라우드 기술이 적용된 사례로는 안철수연구소에서 개발한 ASD(AhnLab Smart Defense)를 들 수가 있습니다.

이렇게 클라우드 기술이 적용된 안티 바이러스 소프트웨어들이 널리 유행하기 시작하자 해외에서 제작된 허위 백신들 중에서도 클라우드라는 단어를 사용하여 정상적인 보안 소프트웨어 인 것으로 위장한 사례가 발견되었습니다.

해당 허위 백신은 시스템에 감염되면 아래 경로에 자신의 복사본을 OpenCloud Antivirus.exe(2,420,224 바이트)로 생성하게 됩니다.

C:\Documents and Settings\[사용자 계정명]\Application Data\OpenCloud Antivirus\OpenCloud Antivirus.exe

그리고 아래 이미지와 같이 "OpenCloud Antivirus"라는 명칭으로 클라우드 기술을 적용한 정상적인 보안 제품으로 위장하고 있습니다.

해당 허위 백신은 감염과 동시에 시스템 전체를 검사하여 윈도우(Windows) 시스템에 존재하는 정상적인 파일들 다수를 악성코드에 감염된 파일로 허위 진단 결과를 보여주게 됩니다.

허위 진단 결과를 시스템 사용자에게 보여줌과 동시에 아래 이미지와 같이 시스템트레이(System Tray)를 통해 주기적으로 사용하는 시스템이 악성코드에 감염되었다는 허위 경고 문구를 보여주고 있습니다.

윈도우 시스템에 존재하는 정상 파일들을 악성코드라고 진단한 허위 진단 결과를 통해 해당 파일들을 치료하기를 시도하면 다른 허위 백신들과 유사하게 금전적인 결제를 유도하나, 테스트 당시에는 정상적으로 해당 웹 사이트에 접속 되지 않았습니다. Ahn

* 본 내용은 안철수연구소 ASEC 에서 작성한 콘텐츠 입니다.
 더 자세한 내용은 ASEC Threat Research 블로그를 참고해 주세요.