반응형
(그림1. BHO에 등록 된 InternetExplorer.dll(V.TRJ.FakeAlert.BHO)로 탐지 된다)
BHO에 등록되는 dll은 InternetExplorer.dll 로써 파일안에는 AntivirusPlus에서 탐지되는 목록을 담고 있으며,
익스플로러 실행 시 특정 사이트로 자동 연결 시킨다.
(그림2. 익스플로러 사용 시 자동으로 팝업되는 사이트이다. 사이트 URL은 http://trusted-web-way.com/warning 이며,
"Click here to get full advanced real-time protection and continue browsing" 을 클릭 시 제품구매 사이트로 연결시킨다.)
(참고로 이 사이트는 Adware.XpAntivirus.AJ로 탐지된다)
(그림3. 허위 스파이웨어 제품을 구매하라는 사이트로 연결 시킨다.)
또한, 다운로드 된 파일 중 %SYSTEM%\dmns.cfg 파일은 접속 할 사이트의 목록을 가지고 있다.
(그림4. dmns.cfg에 기재되어 있는 허위스파이웨어 설치 사이트 목록-모두 같은 제품)
AntivirusPlus가 허위백신으로 판단 할 수 있는 이유 중 가장 큰 이유는 탐지 목록이다.
위에서 InternetExplorer.dll 파일에 탐지목록을 가지고 있다고 하였는데, 한번 알아 보자
(그림5. 실제 AntivirusPlus에서 탐지 되는 목록)
(그림6. InternetExplorer.dll 에서 추출 한 목록)
그림5와 그림6을 보면 동일한 탐지명이란 것을 알 수 있다.
이것이 100% 허위탐지라는 것을 뒷바탕 해주고 있다. ㅎㅎ
결과적으로,
AntivirusPlus는 uninstall을 제공하지 않기때문에 백신제품으로 제거를 해야한다.
'IT 보안소식' 카테고리의 다른 글
| [Spammer]동영상 플러그인으로 둔갑한 악성코드 (4) | 2009.08.10 |
|---|---|
| 디도스 공격 한달…‘보안 불감증’ 여전 -kbs (6) | 2009.08.10 |
| ISEC 2009 CTF 개최!! (0) | 2009.08.03 |
| 네이트온 악성코드 사진 추가 (4) | 2009.08.03 |
| [NVIDIA]스타크래프트2 시연회 후원 (0) | 2009.07.29 |
댓글