악성코드/악성코드 소식

허위 안티스파이웨어 설치하는 다운로더

쿨캣7 2007. 6. 11. 18:17
728x90
반응형

주로 보는 샘플이 악성코드(바이러스, 웜, 트로이목마)이다보니 스파이웨어(애드웨어, 허위 안티 스파이웨어 포함)쪽은 크게 신경을 쓰지 못하는데 마침 다운로더 하나를 보게되었는데 이 샘플이 바로 허위 안티스파이웨어 제품을 사용자 몰래 설치하는 프로그램이다.

사용자 삽입 이미지

허위 안티스파이웨어 제품 다운로드


배포 제휴 업체에서 제작한 프로그램으로 보이며 해당 업체에 파트너 ID 와 설치된 시스템 MAC 어드레스를 보낸다.
(껀당 얼마인지 ?! 그리고 맥어드레스를 넘기는건 좀 심한거 아닌가 ?!)

사용자 삽입 이미지


그래. 백번 양보해서 설치된 안티 스파이웨어 제품 성능이라도 좋다면 .....

설치되자마자 자동으로 실행된다.

사용자 삽입 이미지

사용자 삽입 이미지

조금 시간 지나니까 악성코드 감염되었다며 당장 치료하라고 난리 난리 쳤다.
그런데....

검사 내역을 확인했다.

ADW-Win32.Alexa : 윈도우 설치하면 자동으로 설정되는 값이다. 모든 시스템에 다 있는 값으로 사용자들이 일반적으로 생각하는 광고창 뜨는 애드웨어와는 상관없다.

DoS.Win32.ARPKiller.13 (시스템 폴더 packet.dll) : 이 파일은 패킷 캡쳐 관련 파일. 왜 진단했는지 알 수 없지만 내가 보기에는 오진

L0phtcrack 4.0 (시스템 폴더 wpcap.dll) : 역시 패킷 캡쳐 관련 파일. 왜 진단했는지 알 수 없지만 내가 보기에는 오진

Win32.Backdoor.Jeem : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Welcome 값을 진단
왜 진단했을까 ? 이값도 윈도우 설치하면 기본으로 있는 값이 아닐지...

결국 윈도우 기본 설정 1개, 오진 2개, 미심쩍은 진단 1개
총 4개를 진단했다.

결제는 휴대폰 결제, ARS 결제가 있었다.

문제는 이런게 법적으로 문제가 없다는 거다. 에효....


728x90
반응형