본문 바로가기
IT 보안소식

트위터(Twitter), 단축URL(Short URL)을 통한 FakeAV 전파주의!!

by 잡다한 처리 2011. 1. 21.
반응형



외국에서 어제날짜(1월 20일)로 트위터에서 단축URL(Short URL)을 통해 FakeAV가 전파되고 있다고 보고했다.


외국자료에 의하면 다음과 같이 SNS의 대표주자인 트위터를 통해 단축URL로 전파된다고 한다.


해당 단축URL에 접근하면 다음과 같은 m28sx.html로 이동한다.
http://cainno****a.it/m28sx.html
http://serviz****ittadino.it/m28sx.html
http://ai**.fr/m28sx.html
http://lowc****oiffure.fr/m28sx.html
http://s15248477.online****-server.info/m28sx.html
http://www.waseet****e.com/m28sx.html
http://www.ge****.ee/m28sx.html

m28sx.html 파일은 red.php 라는 페이지로 이동시킨다.
<head>
<meta HTTP-EQUIV="REFRESH" content="0; url=http://gdfgdfgdg******.in.ua/undo/red.php">
</head>

red.php에는 BASE64로 코딩 된 페이지에 의해 FakeAV인 SecurityShield 프로그램이 설치 된다.
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="refresh"
content="0; url=http://91.193.***.**/index.php?1d=V8216F2680&F2=K34YA1MT40MY23EKK5Z83H592UUJNRh&T8oY=RAXWwmJS03MR0vVDFZU0&2vh=23OAQVVB&q89=
ES2QlAgQ2VVNWBVV7&A6kcl=7&tBM=(중간생략)AitJCAABBwQOcgYHAURXQDs%3D&bOk=otNlBUJkhOAwI&j1=AGnN7B
mZgBWIfZw8%2BBDk&5S=QB99C422014BO6HQ3V1U7B5E5&479lM=F0M263&AwT=PY23P46201H9&qg43=C3sHV2x" />
</head>
<body></body>
</html>

- 설치 과정 스크린샷








현재 알약에서는 V.TRJ.FakeAV.SecurityShield, V.TRJ.HTML.Redirect 로 탐지 중이니, 알약 프로그램을 최신으로 업데이트 하시길 바란다.

댓글