본문 바로가기
IT 보안소식

에브리존 터보패치(EveryZone TurboPatch)로 위장한 악성코드 유포 주의

by 잡다한 처리 2011. 5. 10.
반응형

터보백신을 개발하고 운영중인 에브리존에서 이메일로 유포 되는 터보패치(TurboPatch) 설치파일로 

위장한 악성코드가 유포된다는 내용을 홈페이지에 긴급공지하였다.


유포 되는 이메일은 북한의 네트워크 바이러스 공격으로 인하여 방어할 수 있는 프로그램을 최신버전으로 
업데이트 할 수 있도록 패치파일을 다운로드 할 수 있는 URL링크가 포함되어 있다.

(터보패치의 설치파일의 URL은 
http://www.turbopatch.com/down/TurboPatchSetup.exe)

제목 : 안전부서에서 긴급통지 내립니다!

본문 : 
북한 네트워크바이러스공격때문에 개인 PC 심한피해받고 있습니다
국가통신위원회 안내드립니다 개인 PC 네트워크 안전을
위하여 반드시 최신버젼으로 업데이트 하셔야
피해를 최소화 할수있으므로 많은 협조 부탁드리겠습니다


http://pcsafe.everyzone.net/down/TurboPatchSetup.exe

첫 공지는 5월 6일에는 기재되었으며, 추가적으로 5월 9일에 2번째 긴급공지가 된 것으로 확인된다.



홈페이지 공지내용이 바뀐 이유는 메일 본문에 사용 된 다운로드 URL링크의 IP가 변경되었기 
때문인 것으로 추측된다.

처음 확인 된 IP 67.228.81.181는 USA쪽에 등록 된 서버로 확인되며, 두번째 확인 된 IP 118.129.154.152는 
한국쪽에 등록 된 서버로 확인 된다.

(다운로드 된 파일의 아이콘 그림)



(왼쪽:악성파일, 우측:정상파일의 등록정보)


다운로드 된 파일을 살펴보면, 실제 EveryZone에서 서비스 중인 터보패치(TuboPatch)파일과 아이콘이 동일하며, 
등록정보도 비슷하게는 만든거 같다. 

예전에도 이런경우가 있긴 하였는데, 이번에도 터보패치 설치파일이 변조되었을 가능성이 아주 높다.

알약에서는 TurboPatchSetup.exe 파일을 Trojan.Agent.7185074 로 탐지 중이니 최신DB로 업데이트를 항상 
유지하시길 바란다.



댓글