반응형
이미 "nProtect 대응팀 공식블로그"에서 소개 된 적이 있는 내용이니^^ 간략하게 정리 해본다.
러시아의 한 홈페이지에서 발견되었으며, 다음과 같이 홈페이지가 구성되어 있다.
빨간박스 안에 들어가 있는 해외 유명 안티바이러스 제품을 클릭하게 되면 다운로드를 받을 수 있게 된다.
러시아 최고의 안티바이러스 제품인 카스퍼스키 제품을 클릭 시 다음과 같이 화면이 바뀌며, 다운로드를 받으라고 한다.
물론 러시아어로 ㅡ.ㅡ;;; 솰라 솰라~!!
전체적인 파일구성이 궁금해서 상위 폴더로 이동하였더니 총 96개의 셋업파일이 존재하고 있었다.
아이콘도 실제와 동일한 아이콘을 사용하였으며, 파일은 1MB ~ 500MB까지 다양하게 존재하였다.
모두 동일한 코드가 들어가 있으며, 후반에 가비지코드(불필요한 코드)를 삽입하여 파일 크기를 조절 하였다.
위의 파일 중 Avast!_6.0.1021 셋업판을 실행 해 보니 실제 설치를 하는 듯 한 화면들을 보여준다.
하지만 속지말자;; 옜날에 그런말이 있지 않는가~ "꺼진 불도 다시 보자" ㅋㅋㅋ
자세히 보면 너무 허접하다!!
위의 마지막 사진을 보게 되면 결제를 유도하는 화면이 나온다.
SMS, WebMoney, Paid Call, Credit Card, RUR Vkontakte 를 이용하여 결제를 할 수 있으며,
PayMent Terminals 버튼을 누루면 결제를 도와주는 창이 나온다.
아마도 결제를 하게 되면 Enter Actication Code에 넣는 번호가 오거나, 안오거나 ㅋㅋㅋ
결제창은 현재 연결이 되지 않아~ 그림이 없다 ㅠ.ㅠ
그래서 nProtect 대응팀 공식블로그 에서 한장 가져왔다.
(그림 출처 : nProtect 대응팀 공식블로그)
(참고사항)
그래도 셋업화면에 여러 안티바이러스의 그림을 넣은것에 대한 제작자의 노력이 보여진다!!
위의 파일들은 알약에서 다음과 같이 탐지 한다.
Misc.FakeInstaller.Ru.Gen
'IT 보안소식' 카테고리의 다른 글
| 어도비 플래쉬 플레이어 제로데이(Adobe Flash Player 0-Day)를 이용한 악성파일 유포 주의!! (0) | 2011.04.12 |
|---|---|
| 현대캐피탈(HyundaiCapital), 고객정보 42만건 해킹사건(4월 8일) (0) | 2011.04.09 |
| [SpamMail] DHL Express를 가장한 스팸메일로 전파되는 허위백신(FakeAV), XP Security 2011 주의!! (2) | 2011.04.05 |
| 트렌드마이크로(TrendMicro), ZeuS Source Code Already in the Wild(Zeus Bot 소스 코드 유출) (12) | 2011.04.04 |
| [보안뉴스] 액티브X(ActiveX) 뺀 공인인증서 기술 "스마트 싸인이란?" (0) | 2011.04.01 |
댓글