2008.05.20
출처 : 안철수연구소 ASEC[원문]
지난 4월은 스파이웨어로 인한 고객들의 피해가 전체적으로 증가하였으며 그 중 가장 큰 비율로 증가한 것은 허위 안티-스파이웨어와 클릭커-페이크얼럿(Win-Clicker/FakeAlert) 종류이다. 이들은 둘 다 2배 이상으로 증가하였으며, 대부분 다운로더-즐롭(Win-Downloader/Zlob)을 통한 배포가 이루어진 것으로 추정된다.
[그림 1] 허위 안티-스파이웨어 진단 수
[그림 2] 클릭커-페이크얼럿(Win-Clicker/FakeAlert) 진단 수
클릭커-페이크얼럿은 사용자에게 허위 안티-스파이웨어 설치를 유도하는 역할을 한다. 주로 이용되는 방식으로는 트레이 아이콘을 등록하여 메시지 창을 주기적으로 보여주도록 하는 방식 또는 다이얼로그를 통한 방식 , 그리고 웹 페이지의 결과를 변경하여 사용자의 주의를 끄는 방식 등을 통하여 시스템의 보안 취약점을 허위로 사용자에게 알린다.
[그림 3] 클릭커-페이크얼럿 사용자 알림창
[그림 4] 클릭커-페이크얼럿 사용자 알림 다이얼로그
[그림 5] 클릭커-페이크얼럿 사용자 알림 페이지
위와 같은 허위 메시지들은 사용자에게 시스템의 보안 위험을 알리며, 이에 전문적인 지식이부족한 사용자들은 스파이웨어들이 유도하는 대로 허위 안티-스파이웨어를 설치하게 된다. 이렇게 설치되는 허위 안티스파이웨어들은 대부분 실제하지 않는 악성 코드들에 대한 탐지 결과를 보여주며 , 때때로 실제 악성 코드들을 시스템에 설치하여 이에 대한 탐지 결과를 제공하기도 한다.
[그림 6] 허위 안티-스파이웨어의 악성코드 탐지 결과
[그림 7] 허위 안티-스파이웨어의 결제 요구 창
모든 허위 안티-스파이웨어들은 치료를 원하는 사용자들에게 금전적인 결제를 요구한다. 이와 같은 스파이웨어들은 사용자에게 금전적인 피해를 입힘으로써 상대적인 이익을 추구하는 상당히 악성으로 분류된다.
이들은 최초 샘플 접수 이후로부터 국외의 다수 고정적인 스파이웨어들과 국내의 다수의 변종들이 지속적으로 접수되고 있다. 국내 샘플은 지난 4월에는 2 종류, 3월에는 4 종류, 2월에도 2 종류가 출연했다. 주기적으로 등장하는 국외 샘플들에 비해서 국내의 허위 안티-스파이웨어들은 빠른 진단 대응으로 인해 그 생존 주기가 짧으며 프로그램의 내부 변경을 통해 많은 변종들을 낳고 있다. 이를 통해 앞으로도 상당 기간 동안 국내 스파이웨어의 한 축을 차지할 것으로 보인다.
'AhnLab 보안in' 카테고리의 다른 글
| [ASEC리포트 5월호]스팸이 블로그를 만나 스플로그(Splog)가 탄생하다 (0) | 2020.04.05 |
|---|---|
| Adobe사 고소장 접수로 인한 안내문 사칭한 이메일 악성코드 확산 주의 (0) | 2020.04.05 |
| [ASEC리포트]해커들, 시스템보다 웹사이트 취약점 노려 악성코드 배포 (0) | 2020.04.04 |
| [ASEC리포트]2008년 4월 악성코드 동향 (0) | 2020.04.04 |
| [ASEC리포트]티벳 독립 시위 가장한 악성코드 출현 (0) | 2020.04.04 |
