반응형
터보백신을 개발하고 운영중인 에브리존에서 이메일로 유포 되는 터보패치(TurboPatch) 설치파일로
위장한 악성코드가 유포된다는 내용을 홈페이지에 긴급공지하였다.
유포 되는 이메일은 북한의 네트워크 바이러스 공격으로 인하여 방어할 수 있는 프로그램을 최신버전으로
업데이트 할 수 있도록 패치파일을 다운로드 할 수 있는 URL링크가 포함되어 있다.
(터보패치의 설치파일의 URL은
http://www.turbopatch.com/down/TurboPatchSetup.exe)
제목 : 안전부서에서 긴급통지 내립니다!
본문 :
북한 네트워크바이러스공격때문에 개인 PC 심한피해받고 있습니다
국가통신위원회 안내드립니다 개인 PC 네트워크 안전을
위하여 반드시 최신버젼으로 업데이트 하셔야
피해를 최소화 할수있으므로 많은 협조 부탁드리겠습니다
http://pcsafe.everyzone.net/down/TurboPatchSetup.exe
첫 공지는 5월 6일에는 기재되었으며, 추가적으로 5월 9일에 2번째 긴급공지가 된 것으로 확인된다.
홈페이지 공지내용이 바뀐 이유는 메일 본문에 사용 된 다운로드 URL링크의 IP가 변경되었기
때문인 것으로 추측된다.
처음 확인 된 IP 67.228.81.181는 USA쪽에 등록 된 서버로 확인되며, 두번째 확인 된 IP 118.129.154.152는
한국쪽에 등록 된 서버로 확인 된다.
다운로드 된 파일을 살펴보면, 실제 EveryZone에서 서비스 중인 터보패치(TuboPatch)파일과 아이콘이 동일하며,
(다운로드 된 파일의 아이콘 그림)
(왼쪽:악성파일, 우측:정상파일의 등록정보)
다운로드 된 파일을 살펴보면, 실제 EveryZone에서 서비스 중인 터보패치(TuboPatch)파일과 아이콘이 동일하며,
등록정보도 비슷하게는 만든거 같다.
예전에도 이런경우가 있긴 하였는데, 이번에도 터보패치 설치파일이 변조되었을 가능성이 아주 높다.
알약에서는 TurboPatchSetup.exe 파일을 Trojan.Agent.7185074 로 탐지 중이니 최신DB로 업데이트를 항상
예전에도 이런경우가 있긴 하였는데, 이번에도 터보패치 설치파일이 변조되었을 가능성이 아주 높다.
알약에서는 TurboPatchSetup.exe 파일을 Trojan.Agent.7185074 로 탐지 중이니 최신DB로 업데이트를 항상
유지하시길 바란다.
'IT 보안소식' 카테고리의 다른 글
[정상파일변조] 변조된 사이트를 이용한 정상파일(imm32.dll)을 수정하는 악성파일 주의!! (0) | 2011.05.11 |
---|---|
네이트온 악성코드 사진변경(2011-05-06) (0) | 2011.05.10 |
에브리존(EveryZone), 모바일 보안 신제품 "터보백신 모바일(TurboVaccine Mobile)" 공개 (0) | 2011.05.10 |
악성파일로 인한 변조 된 정상파일(midimap.dll) 수동으로 치료하기!! (30) | 2011.05.08 |
아이폰 트래커(iPhoneTracker), 아이폰 트래커 사용방법 "내 위치추적은 얼마나 잘되나!!" (4) | 2011.04.27 |
댓글