본문 바로가기
IT 보안소식

[Antivirus Plus]허위 스파이웨어 제거프로그램 설치를 위한 BHO등록

by 잡다한 처리 2009. 8. 3.
반응형




Antivirus Plus 라는 허위 스파이웨어 제거프로그램을 설치하기 위해서 악성파일이 BHO에 등록시킨다.
(그림1. BHO에 등록 된 InternetExplorer.dll(V.TRJ.FakeAlert.BHO)로 탐지 된다)

BHO에 등록되는 dll은 InternetExplorer.dll 로써 파일안에는 AntivirusPlus에서 탐지되는 목록을 담고 있으며, 
익스플로러 실행 시 특정 사이트로 자동 연결 시킨다.
(그림2. 익스플로러 사용 시 자동으로 팝업되는 사이트이다. 사이트 URL은 http://trusted-web-way.com/warning 이며, 
"Click here to get full advanced real-time protection and continue browsing" 을 클릭 시 제품구매 사이트로 연결시킨다.)
(참고로 이 사이트는 Adware.XpAntivirus.AJ로 탐지된다)

(그림3. 허위 스파이웨어 제품을 구매하라는 사이트로 연결 시킨다.)

또한, 다운로드 된 파일 중 %SYSTEM%\dmns.cfg 파일은 접속 할 사이트의 목록을 가지고 있다.
(그림4. dmns.cfg에 기재되어 있는 허위스파이웨어 설치 사이트 목록-모두 같은 제품)

AntivirusPlus가 허위백신으로 판단 할 수 있는 이유 중 가장 큰 이유는 탐지 목록이다.
위에서 InternetExplorer.dll 파일에 탐지목록을 가지고 있다고 하였는데, 한번 알아 보자
(그림5. 실제 AntivirusPlus에서 탐지 되는 목록)

(그림6. InternetExplorer.dll 에서 추출 한 목록)

그림5와 그림6을 보면 동일한 탐지명이란 것을 알 수 있다.
이것이 100% 허위탐지라는 것을 뒷바탕 해주고 있다. ㅎㅎ 

결과적으로,
AntivirusPlus는 uninstall을 제공하지 않기때문에 백신제품으로 제거를 해야한다.

댓글