본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

'Korea' 키워드의 검색결과를 통한 악성사이트 접속 주의

보안공지 2010-11-24

안녕하십니까 이스트소프트 알약 보안대응팀입니다.
11월 23일 북한의 연평도 공격사건으로 인해 전세계적인 관심이 한국으로 집중되어있는 가운데 한국과 관련된 검색을 통해서 접속되는 악성코드유포 사이트가 등장하여 주의가 요구됩니다.


한국과 관련된 특정 키워드의 검색결과로 표시되는 이 악성 웹사이트의 링크를 클릭할 경우, 브라우저 내에 마치 백신에서 악성코드검사를 하는 것과 같은 가짜 이미지를 보여주며 몇 초 후 "Your computer is infected!...." 라는 메세지를 표시합니다.


사이트 접속 시 바이러스 검사화면으로 위장된 이미지를 표시하는 모습

<사이트 접속 시 바이러스 검사화면으로 위장된 이미지를 표시하는 모습>


 

이 후 나타나는 '검사결과창으로 위장된' 이미지를 사용자가 클릭할 경우 악성코드 설치파일의 다운로드를 시도합니다.


가짜 결과창에 링크되어있는 악성코드 설치파일

<가짜 결과창에 링크되어있는 악성코드 설치파일>


 

백신으로 위장된 이 악성코드가 설치될 경우, 전체화면으로 요금결제창을 표시하고 일체의 다른 작업을 할 수 없도록 하므로 PC를 종료 후 안전모드로 부팅하여 알약을 설치/치료하여야 합니다.


악성코드가 설치된 후 결제를 유도하는 화면

<악성코드가 설치된 후 결제를 유도하는 화면>


 

이는 브라우저등의 취약점을 이용한것이 아니라, 사용자를 속여서 직접 악성파일을 다운로드하도록 유도하는 방식이므로 최신 보안패치의 적용여부와 관계없이 감염될 수 있다는 점에서 더욱 각별한 주의가 필요합니다.


알약에서는 이들 가짜 백신들에 대한 예방 및 치료(진단명 : V.TRJ.FakeAV.SecurityTool)가 가능하며, PC 사용자들은 확인되지 않은 웹사이트를 통해서 바이러스 검사화면이 표시되는 경우, 곧바로 웹브라우저를 닫고, 해당사이트에서 유포하는 파일을 다운로드하지 말것을 권장합니다.


 

[치료 방법]


1) 알약 사용자께서는 DB를 항상 최신버전으로 유지해 주시고, 실시간 감시 기능을 활성화 시켜주시기 바랍니다.
2) 현재 알약에서는 해당 악성코드 파일들을 V.TRJ.FakeAV.SecurityTool로 진단하고 있으며, 제거가 가능합니다.
이미 감염된 PC에서는 반드시 안전모드로 부팅 하여 (전원 켤때 'F8' 키를 반복해서 누른 후 [안전모드-네트워킹 사용]을 선택) 알약을 설치하고 최신 DB로 업데이트 한 후 기본/정밀 검사를 실시해야 합니다.


 

[예방 방법]


1) 알약 DB 업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.