미디어[media.cgland.com]

사회적으로 이슈가 되는 유명 인사들의 사망 등을 악용하는 사회 공학(Social Engineering) 기법으로 악성코드가 유포되는 사례는 과거에도 지속적으로 발견되었다.

이러한 사례들로는 2011년에만 5월 테러 조직인 알카에다의 지도자인 오사마 빈 라덴(Osama Bin Laden) 사망 소식과 10월 애플(Apple) CEO인 스티브 잡스(Steve Jobs)의 사망을 악용한 악성코드 유포 사례들이 있었다.

2011년 12월 19일 북한의 김정일 위원장이 북한의 방송으로 인해 전 세계에 알려진지 만 하루가 지난 금일 김정일 위원장의 사망을 악용한 애드웨어 유포가 사례가 발견되었다.

해당 애드웨어는 유명 동영상 관련 웹 사이트 유튜브(You Tube)를 통해 김정일 위원장의 사망과 관련한 동영상을 시청하기 위해서는 본문의 단축 URL(URL Shortening)을 클릭하도록 유도 하고 있다.

해당 단축 URL을 클릭하게 되면 동영상을 시청할 수 있는 것으로 위장하고 있는 웹 사이트로 연결하게 된다.

해당 웹 사이트에서는 다시 정상적인 동영상을 시청하기 위해서는 특정 툴바(Toolbar)를 설치하도록 권유하고 있다.

실제 사용자가 설치를 동의하지 않아 체크 박스를 해제하는 것과 상관 없이 Start 버튼을 클릭하게 되면 Setup.exe(231,608 바이트)를 다운로드 하게 된다.

다운로드 한 Setup.exe(231,608 바이트)를 실행하게 되면 특정 시스템으로부터 다른 파일들을 사용자의 동의 없이 다운로드 및 실행하게 된다.

설치가 완료 되면 사용자가 동의하지 않은 인터넷 익스플로러(Internet Explorer) 툴바들이 설치가 된다.

그리고 인터넷 익스플로러의 시작 페이지를 특정 웹 사이트로 변경하고 사용자가 입력하는 검색 키워들을 가로채어 특정 시스템으로 전송을 수행하게 된다.

이번 김정일 위원장의 사망을 악용하여 유튜브를 통해 유포를 시도한 애드웨어들은 모두 V3 제품군에서 다음과 같이 진단한다.

Trojan/Win32.ADH
Adware/Win32.Hotbar
Trojan/Win32.ADH

출처: 안철수연구소