악성 코드만 못한 프로그램
글을 올린 사람의 방문하지 말라는 경고에도 불구하고 호기심 때문에 방문하고는 놀라움을 금하지 못했다. 이 사이트에 접속하면 무려 29개의 ActiveX를 설치한다. 그런데 재미있는 것은 이렇게 설치되는 ActiveX 모두 PC 최적화, 악성 소프트웨어 제거 도구의 탈을 쓰고 있다는 점이다.
악성 코드만 못한 프로그램
요즘 악성 소프트웨어가 워낙 판을 치다보니 오랜 만에 QAOS.com에 사례분석을 통해 배우는 스파이웨어 판정 IV, PCZiggy이라는 글을 올렸다. 악성 소프트웨어 제거 도구의 근황을 확인하기위해 소프트웨어 개발사를 돌아다니던 중 다음 사이트를 방문했다.
글을 올린 사람의 방문하지 말라는 경고에도 불구하고 호기심 때문에 방문하고는 놀라움을 금하지 못했다. 이 사이트에 접속하면 무려 29개의 ActiveX를 설치한다[3]. 그런데 재미있는 것은 이렇게 설치되는 ActiveX 모두 PC 최적화, 악성 소프트웨어 제거 도구의 탈을 쓰고 있다는 점이다.
일단 이 사이트에 접속하면 다음 그림과 같은 화면이 나타난다. 마치 은행에서 보안 프로그램을 설치하는 것처럼 보이지만 전혀 아니다. 악성 ActiveX 설치를 유도하기위해 사용자를 속이는 화면에 불과할 뿐이다. 아울러 혹시나 ActiveX를 설치하지 않을까봐 익스플로러 창에서 위와 같은 메시지가 나오면 반드시 클릭하신 후 'ActiveX 컨트롤 설치'를 누릅니다라는 문구를 삽입해 두고 있다.
사용자의 ActiveX 설치를 유도하는 초기화면
사이트가 정상적으로 읽혀지면 이때부터 29개에 달하는 악성 ActiveX를 설치하기 시작한다.
디스크 최적화 무료 이벤트 및 윈도우 최적화 프로그램과 무료음악
무료악성코드검사프로그램. 100% 무료음악플레이어.WindowsIE A
무료악성코드진단(dpsolution)
무료악성코드진단(Tooin)
바이러스 무료치료 피씨클리어 & 유니툴바 & IE가이드
보너스팩 패키지(쇼핑현금적립,사이트바로가기,주소창검색,무료문자)
스파이메딕(서치팩) 무료 악성크도 바이러스 검사
악성코드 무료검사 하얀PC와 인터넷도우미
악성코드삭제프로그램
악성코드제거프로그램
이름만 바꾼 악성 코드
두 개의 프로그램 모두 같은 프로그램으로 보인다. 제작사도 같고 이름도 거의 같다. 삭제/제거로 이름만 바꿔서 두 개의 ActiveX를 설치하고 있다. 프로그램의 이름을 보면 알 수 있지만 이 프로그램 외에도 이름만 다른 프로그램이 여러 개 보인다.
악성코드제거프로그램 및 UTurn툴바
애드스캔-악성코드 퇴치 프로그램 & 와우툴바-인터넷도우미
원클릭 PC보호 프로젝트 - 스파이킵
피씨 보호 캐비넛 - 피씨커버
AirPC-악성코드 퇴치 프로그램 & EzURL-인터넷도우미
AntiVIR & 신개념정보툴바
DrClean
DrClear & Windows Wow Toolbar Installer
PC Antispyware pcfreeJJang
이름을 흉내낸 악성 코드
공개 악성 코드 치료 프로그램인 PCFree이름을 그대로 흉내냈다. 도메인 이름도 pc-free.co.kr
로 pcfree.co.kr
와 비슷하며, 설치하면 기존에 설치된 무료 악성 코드 치료 프로그램인 PCFree를 삭제하고 같은 폴더에 설치된다고 한다. 따라서 주의를 요한다. 이름이 pcfreeJJang로 바뀐 것도 PCFree에서 요청해서 바뀐 것이라고 한다. [자세히 보기]
pc안전진단 및 웹도우미 닥터피씨로
PC최적화 무료 검사 및 강력한 인터넷 검색 도우미와 추천 사이트
pcoptimizer viscan
PCRadar Download 동의, 신개념정보툴바
그래도 설치되는 ActiveX 중 가장 솔직한 이름을 가지고 있다.
SpySweeper & 신개념정보툴바
이름을 베낀 악성 코드
SpySweeper라는 유명한 악성 코드 제거 프로그램의 이름을 그대로 사용한다. 그러나 SpySweeper와는 전혀 관련없는 프로그램이다. 툴바를 설치하기 위해 낚시성으로 붙인 이름이다.
VaccineFree & Windows Wow Toolbar Installer
Virus119 & 신개념정보툴바
Windows Total Utility-ECleaner
windows utilitytool vzero
xKiller & Windows Wow Toolbar Installer
악성 코드 수십개를 설치하는 사람
위에서 알 수 있듯이 대부분 최적화, 바이러스 검사, 악성 코드 제거의 탈을 쓰고 있으며, 주로 툴바나 인터넷도우미라는 URL을 가로채는 프로그램을 설치한다는 것을 알 수 있다. 다른 사이트로 이동하려고 하면 다음처럼 화상 채팅 사이트로의 접속을 유도하는 문구가 나타난다. whois 서비스로 최종 주소인 lowhost.co.kr
를 조회해보면 이종X라는 사람이 이 도메인의 소유주로 되어 있다. 참 대단한 사람이다.
화상 채팅 사이트 접속을 유도하는 마지막 화면
초보자의 컴퓨터를 보면 정말 많은 악성 프로그램이 설치되어 있다. 그 이유는 초보자의 무분별한 ActiveX 설치와 위의 사이트처럼 사람들을 속여 ActiveX의 설치를 유도하는 사이트들 때문이다. 그러나 ActiveX 는 특별한 경우가 아니면 가급적 설치하지 않는 것이 좋다. 파란 사태에서 알 수 있듯 하나의 ActiveX를 허용하면 이 것을 통해 쓸데없는 다른 ActiveX까지 설치될 수 있기 때문이다.
따라서 알 수 없는 ActiveX는 다음과 같은 방법으로 차단하는 것이 좋다.
- http://fh.zetyx.net/에 접속하면 http://hack119.u.to로 주소가 전환되며, 다시 http://lowhost.co.kr로 주소가 또 전환된다. ↩
- 악성 코드에 걸릴 위험이 많기 때문에 초보자는 아예 접속하지 않는 것이 좋다. ↩
- 난 ActiveX를 마물로 보고 있다. 은행권에 설치해대는 ActiveX 역시 악성 소프트웨어 못지 않으며 사이트를 방문하다보면 뜬금없이 나타나 설치할 것을 강요해대는 이런 ActiveX들 때문이다. ActiveX 자체가 문제는 아니다. 사용하는 사람들의 잘못된 사용이 ActiveX를 마물로 만들고 있는 것이다. ↩
Trackback
Trackback Address :: https://offree.net/trackback/537
-
Subject : 구글 애드센스 광고 배너와 각 사이트의 이미지 배너만 골라서 포르노 광고를 보여주는 악성코드와의 전쟁
Tracked from 남기범(Alex Nam,南基范) :: 중국 부동산 관련 정보, 중국 부동산 경매 정보, 중국내 비자 관련 정보, 중국 유학 정보, 모바일 관련 정보 2008/03/30 16:57 del.안녕하십니까? 중국 북경 대신부동산컨설팅 유한공사(http://www.95hows.com, http://www.alexnam.com)의 남 기범입니다. 몇일전부터 악성코드에 감염되어서 죽겠습니다. 알약, 구글에서 주는 PC Tools Spywaredoc
Comments
-
-
Mr.Dust 2006/09/24 15:18
그야말로 악성 프로그램 집합소군요!
(전체를 아우르자면 아직 많이 부족하긴 하지만 -_-)
문득 걱정(?)이 됩니다. 저 29개들 중 대다수는 비슷한 기능을 하는 것 같은데, 서로 충돌되지는 않을까요? -ㅅ-; -
살쾡이 2006/09/24 22:45
저도 이게 싫어서 KillBit을 직접 만들어 배포하기도 합니다. ㅎㅎ
http://pikadung.egloos.com/
추가할게 몇 개 좀 있네요.
-
-
일단 2006/09/25 17:31
방화벽 프로그램으로 스크립트 차단...스크립트를 실행시킬 필요가 있는 사이트에서는 일단 무조건 아니오 선택...은행 등의 보안관련프로그램을 설치에 동의하지만 그 외 나머지는 거부...
허접한 블로그 등에서의 설치요구에 "예" 를 누르고 동의한다는 것은...글쎄요...그만큼 사용자가 무지하다라는 반증이 되겠죠. 액티브X 기술이 나쁜 것이 아니라 그것을 악용하는 놈들이 나쁜놈이죠.
-
위사이트 2006/09/25 17:38
일단 접속한 후 몇 초가 지나니 게시판으로 들어가지는 군요. 무슨 프로그램들인지 모르겠지만 잔뜩 소개가 되어있고...또한 각종 악성프로그램을 제거하는 방법도 친절(?)히 소개하고 있네요. 페이지를 닫으니 마지막 그림에 있는 페이지가 덩그러니 화면 중앙에...
-
mucho 2006/10/02 17:40
익스플로 창에서 서핑 하다보면 왼쪽 마우스가 작동이 안될때가 간혹 있습니다. 그리고 왼쪽을 클릭 하면 창이 클릭한 곳으로 넘어 가는게 아니라 맨아래로 내려갑니다 마우스가 이상인줄 알고 마우스도 새로 교환 했는데도 같은 증상이 나옵니다.이런 증상도 스파이웨어 때문 인가요?
포맷을 하고 재설치 해도 같은 증상 이네요
Ad-aware 와 Spybot 로 검색해도 나오지는 않습니다
-
ㅜㅜㅜ 2006/10/27 16:53
vzero 라는 프로그램이 깔려 지우니;; 모든게 날라가더군요..;; 거의 초기화... 프로그램 목록 같은걸 다 지워버려서.. ㅜㅜ 조심하세요~
-
-
eld 2008/10/01 17:09
음... 저는 파이어폭스 쓰는지라 엑티브걱정은 없지만 그래도 저 사이트 들어가고싶진 않네요.
엑티브엑스만 저런식이면 다 무시되겠지만 요즘 트로이 심어놓는 경우도 많으니까요.
은행권이라면 차라리 보안프로그램을 직접 다운로드 받아서 설치하게 유도하는쪽으로 가는게 좋을거 같은데
막상 그런식으로 하면 이것도 못하시는 분들이 너무많아서 힘들죠. 답답한 현실이에요.
Facebook