2008년 7월 악성코드, 허위백신류 악성코드 1위

2008.09.10

 

순위		악성코드 명	건수	%
1	new	Win-Trojan/Fakeav.94208	90	23.8%
2	new	Win-Trojan/Downloader.61440.CP	89	23.5%
3	new	Win-Trojan/Bho.118784.O	58	15.3%
4	new	Win-Trojan/FindVM.32759	25	6.6%
5	new	Win-Trojan/Virtumod.118784	22	5.8%
6	new	Win-Trojan/Agent.74752.AF	21	5.6%
7	new	Win-Trojan/WowHack.18432.Q	19	5.0%
8	new	Win-Trojan/Proxy.50176.B	18	4.8%
9	new	Win-Trojan/Agent.6144.HK	18	4.8%
10	new	Win-Trojan/Agent.517632.E	18	4.8%
합계			378	100.0%

[표 1-1] 2008년 7월 악성코드 피해 Top 10

[표 1-1]은 2008년 8월 악성코드로 인한 피해 Top 10에 랭크 된 악성코드들을 나타내고 있다. Top 10에 포함된 악성코드들의 총 피해건수는 378건으로 8월 한 달 접수된 총 피해건 수(3,396건)의 11.1%에 해당하며 지난 7월 849건(13.6%)에 비해 피해건수는 감소 하였다. Win-Trojan/Fakeav.94208과 Win-Trojan/Downloader.61440.CP, Win-Trojan/Bho.118784.O의 비율이 15~24%로 전체 절반이상 많은 비중을 차지하고 있으며 나머지 악성코드들은 대부분 10%미만의 비율로 큰 차이를 나타내지는 않고 있다. 8월에는 Top 10에서도 1~3위의 악성코드가 다소 많은 피해를 준 것으로 나타났다.

특히 주목할 만한 현상으로 허위백신류의 악성코드가 1위를 차지한 것이다. 허위백신의 경우 주로 스파이웨어로 분류되어 진단하였으나 최근에는 설치 후 Rootkit을 이용하여 자신을 은폐하고 광고성 스팸메일을 발송하는 등 악성코드와 유사한 증상을 보이는 것들도 발견되고 있다.

이러한 허위백신은 대부분 외산 프로그램으로 허위진단결과를 보여주고 결제를 유도하지만 국내에서는 결제방법, 언어문제 등으로 인해서 실제로 금전적인 피해를 입었다는 신고는 접수되지 않았다. 하지만 잦은 허위 감염 경고창 노출 및 허위검사 화면 노출로 인해 PC사용에 많은 불편을 초래하여 이로 인한 피해 신고가 큰 폭으로 증가하였다.

허위백신의 배포는 주로 이메일(E-Mail)을 통해 이루어지는데, 이는 많이 알려진 방법이지만 나날이 그 수법이 교묘해지고 있어 많은 주의가 필요하다. 이러한 이메일은 발신인 주소에 대형 소프트웨어 제작업체 등과 같이 잘 알려진 도메인으로 된 이메일 주소를 사용하고, 내용 또한 관련 내용을 담고 있으며, 첨부파일이 아닌 본문 안에 특정 파일을 다운로드할 수 있는 링크(URL)를 숨겨두는 방식을 사용하고 있다. 따라서 이메일을 수신한 일반 사용자가 이메일 내용만으로는 악성 프로그램 배포를 위한 스팸 메일인지 알기가 매우 어렵다. 하지만 메일 안에 포함된 파일 다운로드 링크(URL)를 유심히 살펴보면 발신인과 전혀 상관이 없는 사이트 또는 의심스러운 사이트로 연결 되어있는 것을 발견할 수 있다. 이럴 경우 절대 파일을 다운받아 실행하지 말고 해당 이메일은 삭제하는 것이 좋다. 비단 이러한 스팸메일이 아닐지라도 웹 상에서 파일을 다운로드 할 경우에는 파일이 위치한 사이트 URL을 꼭 확인 해야 한다.

[그림 1-1] 이메일 내용에 포함된 다운로드 링크(URL) 확인

[그림 1-1]에서는 다운로드 링크의 원본 파일위치를 확인하는 방법을 보여준다. 웹브라우저 하단의 붉은색 박스 안에 보이는 부분이 파일의 원본 위치이다. 파일 다운로드시 브라우저에서 기본적으로 파일의 안전성 확인을 안내하는 창이 나타나지만 대부분의 사용자가 이를 확인하지 않고 [실행] 또는 [저장] 버튼을 눌러 악성코드가 감염되도록 하고 있다. 따라서 특정 프로그램을 설치할 경우 [실행] 또는 [저장] 버튼을 누르는데 좀 더 세심한 주의가 필요하다.