가짜 바이러스 제거 프로그램들!!!

요즘 악성 소프트웨어가 워낙 판을 치다보니 오랜 만에 QAOS.com사례분석을 통해 배우는 스파이웨어 판정 IV, PCZiggy이라는 글을 올렸다. 악성 소프트웨어 제거 도구의 근황을 확인하기위해 소프트웨어 개발사를 돌아다니던 중 다음 사이트를 방문했다.

http://fh.zetyx.net/ [1][2]

글을 올린 사람의 방문하지 말라는 경고에도 불구하고 호기심 때문에 방문하고는 놀라움을 금하지 못했다. 이 사이트에 접속하면 무려 29개의 ActiveX를 설치한다[3]. 그런데 재미있는 것은 이렇게 설치되는 ActiveX 모두 PC 최적화, 악성 소프트웨어 제거 도구의 탈을 쓰고 있다는 점이다.

일단 이 사이트에 접속하면 다음 그림과 같은 화면이 나타난다. 마치 은행에서 보안 프로그램을 설치하는 것처럼 보이지만 전혀 아니다. 악성 ActiveX 설치를 유도하기위해 사용자를 속이는 화면에 불과할 뿐이다. 아울러 혹시나 ActiveX를 설치하지 않을까봐 익스플로러 창에서 위와 같은 메시지가 나오면 반드시 클릭하신 후 'ActiveX 컨트롤 설치'를 누릅니다라는 문구를 삽입해 두고 있다.


사용자의 ActiveX 설치를 유도하는 초기화면

사이트가 정상적으로 읽혀지면 이때부터 29개에 달하는 악성 ActiveX를 설치하기 시작한다.


디스크 최적화 무료 이벤트 및 윈도우 최적화 프로그램과 무료음악


무료악성코드검사프로그램. 100% 무료음악플레이어.WindowsIE A


무료악성코드진단(dpsolution)


무료악성코드진단(Tooin)


바이러스 무료치료 피씨클리어 & 유니툴바 & IE가이드


보너스팩 패키지(쇼핑현금적립,사이트바로가기,주소창검색,무료문자)


스파이메딕(서치팩) 무료 악성크도 바이러스 검사


악성코드 무료검사 하얀PC와 인터넷도우미


악성코드삭제프로그램


악성코드제거프로그램

두 개의 프로그램 모두 같은 프로그램으로 보인다. 제작사도 같고 이름도 거의 같다. 삭제/제거로 이름만 바꿔서 두 개의 ActiveX를 설치하고 있다. 사실 프로그램의 이름을 보면 알 수 있지만 이 프로그램 외에도 이름만 다른 프로그램이 여러 개 보인다.


악성코드제거프로그램 및 UTurn툴바


애드스캔-악성코드 퇴치 프로그램 & 와우툴바-인터넷도우미


원클릭 PC보호 프로젝트 - 스파이킵


피씨 보호 캐비넛 - 피씨커버


AirPC-악성코드 퇴치 프로그램 & EzURL-인터넷도우미


AntiVIR & 신개념정보툴바


DrClean


DrClear & Windows Wow Toolbar Installer


PC Antispyware pcfreeJJang

공개 악성 코드 치료 프로그램인 PCFree이름을 그대로 흉내냈다. 도메인 이름도 pc-free.co.krpcfree.co.kr와 비슷하며, 설치하면 기존에 설치된 무료 악성 코드 치료 프로그램인 PCFree를 삭제하고 같은 폴더에 설치된다고 한다. 따라서 주의를 요한다. 이름이 pcfreeJJang로 바뀐 것도 PCFree에서 요청해서 바뀐 것이라고 한다. [자세히 보기]


pc안전진단 및 웹도우미 닥터피씨로


PC최적화 무료 검사 및 강력한 인터넷 검색 도우미와 추천 사이트


pcoptimizer viscan


PCRadar Download 동의, 신개념정보툴바

그래도 설치되는 ActiveX 중 가장 솔직한 이름을 가지고 있다.


SpySweeper & 신개념정보툴바

SpySweeper라는 유명한 악성 코드 제거 프로그램의 이름을 그대로 사용한다. 그러나 SpySweeper와는 전혀 관련없는 프로그램이다. 툴바를 설치하기 위해 낚시성으로 붙인 이름이다.


VaccineFree & Windows Wow Toolbar Installer


Virus119 & 신개념정보툴바


Windows Total Utility-ECleaner


windows utilitytool vzero


xKiller & Windows Wow Toolbar Installer

위에서 알 수 있듯이 대부분 최적화, 바이러스 검사, 악성 코드 제거의 탈을 쓰고 있으며, 주로 툴바나 인터넷도우미라는 URL을 가로채는 프로그램을 설치한다는 것을 알 수 있다. 다른 사이트로 이동하려고 하면 다음처럼 화상 채팅 사이트로의 접속을 유도하는 문구가 나타난다. whois 서비스로 최종 주소인 lowhost.co.kr를 조회해보면 이종X라는 사람이 이 도메인의 소유주로 되어 있다. 참 대단한 사람이다.


화상 채팅 사이트 접속을 유도하는 마지막 화면

초보자의 컴퓨터를 보면 정말 많은 악성 프로그램이 설치되어 있다. 그 이유는 초보자의 무분별한 ActiveX 설치와 위의 사이트처럼 사람들을 속여 ActiveX의 설치를 유도하는 사이트들 때문이다. 그러나 ActiveX 는 특별한 경우가 아니면 가급적 설치하지 않는 것이 좋다. 파란 사태에서 알 수 있듯 하나의 ActiveX를 허용하면 이 것을 통해 쓸데없는 다른 ActiveX까지 설치될 수 있기 때문이다.

따라서 알 수 없는 ActiveX는 다음과 같은 방법으로 차단하는 것이 좋다.

  1. 그림처럼 ActiveX 창이 나타나면 자세한 옵션 보기 앞의 버튼을 클릭한다.
  2. "XXX"에서 배포한 소프트웨어를 설치하지 않음을 선택하고 설치 안 함 버튼을 클릭한다.

관련 글타래


  1. http://fh.zetyx.net/에 접속하면 http://hack119.u.to로 주소가 전환되며, 다시 http://lowhost.co.kr로 주소가 또 전환된다. 
  2. 악성 코드에 걸릴 위험이 많기 때문에 초보자는 아예 접속하지 않는 것이 좋다. 
  3. 난 ActiveX를 마물로 보고 있다. 은행권에 설치해대는 ActiveX 역시 악성 소프트웨어 못지 않으며 사이트를 방문하다보면 뜬금없이 나타나 설치할 것을 강요해대는 이런 ActiveX들 때문이다. 사실 ActiveX 자체가 문제는 아니다. 사용하는 사람들의 잘못된 사용이 ActiveX를 마물로 만들고 있는 것이다. 
2006/09/24 10:04 2006/09/24 10:04
글쓴이
author image
운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.
오늘의 글
인기있는 글
조회수 많은 글 | 베오베
댓글 많은 글 | 베오베

Trackback

Trackback Address :: https://offree.net/trackback/537

  1. Subject : 구글 애드센스 광고 배너와 각 사이트의 이미지 배너만 골라서 포르노 광고를 보여주는 악성코드와의 전쟁

    Tracked from 남기범(Alex Nam,南基范) :: 중국 부동산 관련 정보, 중국 부동산 경매 정보, 중국내 비자 관련 정보, 중국 유학 정보, 모바일 관련 정보 2008/03/30 16:57 del.

    안녕하십니까? 중국 북경 대신부동산컨설팅 유한공사(http://www.95hows.com, http://www.alexnam.com)의 남 기범입니다. 몇일전부터 악성코드에 감염되어서 죽겠습니다. 알약, 구글에서 주는 PC Tools Spywaredoc

Facebook

Comments

  1. Alphonse 2006/09/24 14:55

    허... 장난 아니군요.
    진짜 이런 스파이웨어 애드웨어 없는 세상에서 살고 싶어요 >.<

    perm. |  mod/del. reply.
    • 도아 2006/09/25 12:50

      저도 그렇습니다. 특히 문명의 이기를 한 낱 쓰레기로 만드는 사람이 싫습니다.

  2. Mr.Dust 2006/09/24 15:18

    그야말로 악성 프로그램 집합소군요!
    (전체를 아우르자면 아직 많이 부족하긴 하지만 -_-)

    문득 걱정(?)이 됩니다. 저 29개들 중 대다수는 비슷한 기능을 하는 것 같은데, 서로 충돌되지는 않을까요? -ㅅ-;

    perm. |  mod/del. reply.
    • 도아 2006/09/25 12:51

      아마 충돌할 겁니다. 은행권 ActiveX 끼리도 매번 충돌하는데,,, 그렇지만 아마 ActiveX를 올린 사람은 그런데는 관심이 없을 것으로 보입니다.

  3. 살쾡이 2006/09/24 22:45

    저도 이게 싫어서 KillBit을 직접 만들어 배포하기도 합니다. ㅎㅎ
    http://pikadung.egloos.com/
    추가할게 몇 개 좀 있네요.

    perm. |  mod/del. reply.
    • 도아 2006/09/25 12:51

      홈페이지 링크를 타고 몇번 가봤습니다. 무척 좋은 일을 하고 게시더군요.

  4. 댕글댕글파파 2006/09/25 09:44

    이거 걸려드는 사람은 대박이네요..-_-
    해도해도 너무 하네...

    perm. |  mod/del. reply.
    • 도아 2006/09/25 12:52

      예... 예전에 모 크랙 사이트를 방문했다가 빠져 나오지를 않고 잠이 들었더니 다름 날 약 500 여개의 악성 코드를 심어 놨더군요.

      그 만큼은 아니라고 해도 정말 많이 설치됩니다.

  5. 일단 2006/09/25 17:31

    방화벽 프로그램으로 스크립트 차단...스크립트를 실행시킬 필요가 있는 사이트에서는 일단 무조건 아니오 선택...은행 등의 보안관련프로그램을 설치에 동의하지만 그 외 나머지는 거부...

    허접한 블로그 등에서의 설치요구에 "예" 를 누르고 동의한다는 것은...글쎄요...그만큼 사용자가 무지하다라는 반증이 되겠죠. 액티브X 기술이 나쁜 것이 아니라 그것을 악용하는 놈들이 나쁜놈이죠.

    perm. |  mod/del. reply.
    • 도아 2006/09/25 17:53

      예. 원로 도구 자체가 나쁜 도구, 좋은 도구를 구분할 수는 없습니다. 따라서 ActiveX 그 자체가 나쁜 것은 아닙니다. 그러나 ActiveX는 웹 브라우저를 통해 하드 디스크에 프로그램을 설치합니다.

      이런 부분은 악용의 소지를 가득 담고 있는 것으로 생각합니다. 물론 이런 기능이 필요할 수도 있지만 애시당초 만들지 않았다면 이렇게까지 악성 프로그램이 설쳐대지는 않았을 것 같더군요.

  6. 위사이트 2006/09/25 17:38

    일단 접속한 후 몇 초가 지나니 게시판으로 들어가지는 군요. 무슨 프로그램들인지 모르겠지만 잔뜩 소개가 되어있고...또한 각종 악성프로그램을 제거하는 방법도 친절(?)히 소개하고 있네요. 페이지를 닫으니 마지막 그림에 있는 페이지가 덩그러니 화면 중앙에...

    perm. |  mod/del. reply.
    • 도아 2006/09/25 17:55

      올라온 프로그램은 대부분 게임 핵과 유틸리티 패치입니다. 즉, 게임 핵과 유틸리티 패치를 받기위해 저 사이트에 방문한다고 봐도 되겠지요.

      아울러 삭제 방법을 제공하는 것은 아마 설치 횟수에 따라 돈을 받는 방식이기 때문이 아닌가 싶더군요. 물론 워낙 많은 ActiveX를 설치하기 때문에 궁여지책으로 올린 글일 수도 있고요.

  7. mucho 2006/10/02 17:40

    익스플로 창에서 서핑 하다보면 왼쪽 마우스가 작동이 안될때가 간혹 있습니다. 그리고 왼쪽을 클릭 하면 창이 클릭한 곳으로 넘어 가는게 아니라 맨아래로 내려갑니다 마우스가 이상인줄 알고 마우스도 새로 교환 했는데도 같은 증상이 나옵니다.이런 증상도 스파이웨어 때문 인가요?
    포맷을 하고 재설치 해도 같은 증상 이네요
    Ad-aware 와 Spybot 로 검색해도 나오지는 않습니다

    perm. |  mod/del. reply.
    • 도아 2006/10/27 18:42

      예. 별의별 프로그램이 다있습니다. 지우면 네트워크 설정을 지우는 놈, .exe 파일의 설정을 지워서 프로그램을 실행하지 못하게 하는 놈,,,

      아무튼 깔지 않는 것이 최선입니다.

  8. ㅜㅜㅜ 2006/10/27 16:53

    vzero 라는 프로그램이 깔려 지우니;; 모든게 날라가더군요..;; 거의 초기화... 프로그램 목록 같은걸 다 지워버려서.. ㅜㅜ 조심하세요~

    perm. |  mod/del. reply.
    • 도아 2006/10/27 18:45

      예. 별의별 프로그램이 다 있습니다. 지우면 네트워크 설정을 날려서 네트워크가 되지 않게 하는 놈, .exe 파일의 레지스트리를 날려서 프로그램이 실행되지 않게하는 놈.

      아무튼 이런 프로그램은 설치하지 않는 것이 최선입니다.

  9. 순디자인 2007/05/04 13:45

    전 지금 악성제거 툴로 에듀캅이라는 툴을 쓰고 있는데 성능은 어떤가요?

    perm. |  mod/del. reply.
    • 도아 2007/05/04 13:52

      제가 사용해본 봐로는 악성 스크립트 제거 도구 중에는 안랩의 SpyZero, 비전 파워의 PCZiggy외에는 쓸만한 프로그램은 없었습니다. PCZiggy는 메가패스 사용자에게는 무료로 배포되는 메가닥터에 포함되어 있습니다.

      따라서 메가패스를 사용하신다면 메가닥터를 사용할 것을 권해 드립니다. 여기를 클릭하시면 관련 글을 읽을 수 있습니다.

  10. eld 2008/10/01 17:09

    음... 저는 파이어폭스 쓰는지라 엑티브걱정은 없지만 그래도 저 사이트 들어가고싶진 않네요.
    엑티브엑스만 저런식이면 다 무시되겠지만 요즘 트로이 심어놓는 경우도 많으니까요.

    은행권이라면 차라리 보안프로그램을 직접 다운로드 받아서 설치하게 유도하는쪽으로 가는게 좋을거 같은데
    막상 그런식으로 하면 이것도 못하시는 분들이 너무많아서 힘들죠. 답답한 현실이에요.

    perm. |  mod/del. reply.
    • 도아 2008/10/01 18:05

      예... 따라서 은행권에서 인터넷 뱅킹을 하려는 분들을 대상으로 교육을 하는 것이 더 나을 것 같더군요.

댓글로 기쁨을 나눠요!

(옵션: 없으면 생략)

글을 올릴 때 [b], [i], [url], [img]와 같은 BBCode를 사용할 수 있습니다.