맬웨어 광고

페북에 이런 광고가 떴다.

주소는 일부러 지웠음.

들어가보면, 다음과 같은 홈페이지가 나온다.

물론 밑에는 다른 여성들 사진도 많이 있다. 그건 그렇고.

저기서 Download full hd album을 눌러서 다운받으면, 78메가바이트 정도 되는 압축파일을 받을 수 있다.

그래서, 이 압축파일을 열어보면,

미묘하게 파일 크기가 커다란 녀석이 4개가 있고, 나머지는 크기가 작은 편이다. 파일이름이 숨겨져 있는데, 전체를 다 펼쳐보면 다음과 같다.

파일 확장자 exe파일만 19메가바이트이고, 나머지 JPG파일들은 크기가 작다는 걸 알 수 있다. 위의 압축파일에서 2개를 다운로드 받아봤는데, 사진 파일 1개를 빼고 나머지 내용은 다 같았다. 즉, 이건 굉장히 의심스러운 파일이다. 멀쩡한 그림파일인줄알고 몇개 클릭해 본 다음, 하나씩 클릭하다보면…

내 노예 중 하나인 윈도우즈8.1에서 실행시킨 모습. 차단되었다.

이렇게 “실행파일”이 실행되면서 무슨 일이 일어나게 되는 것이다.

물론 인간의 욕심은 끝이 없고 같은 실수를 반복하기 때문에, 굳이 보안설정을 끄고 일부러 실행시켜보았다. 착한 어린이들은 집에서 절대로 따라하지 말자.

당연히 관리자권한을 요청한다.

뭔가를 체크하더니 “버추얼 머신에 설치해세요”라는 메시지가 나왔다.

그래서, 한번 더 실행시켰더니

이렇게 뜬다. libcrypto라니… 이건 암호화 모듈이잖아?

그냥 스킵했다. 저게 없다고 에러가 나는걸로 봐서는, 아까 처음에 설치할때 뭔가 했던 것 같다.

두번째로 없다고 나온 것은 libssl 이다. 이건 통신 암호화 라이브러리…?

아무튼, 이상해서 저 에러메시지에 적힌 폴덕에 찾아바보았다.

파이썬 3.7로 이루어진 뭔가가 나왔다. curl, ssl, crypto, rar 등이 있는걸로 봐서는 이건 랜섬웨어인 것 같다. 즉, 파일을 암호화시켜서 사용하지 못하게 해버리고, 그 암호화를 해제하는 키를 어딘가로 보내서 몸값을 뜯어낼 수 있도록 하는 내용이라는 추측이 든다. 저기서 메인프로그램으로 보이는 rnews.exe를 실행시켜봤을 때 아무런 일도 일어나지 않았다. 뭐가 암호화되지도 않은 걸로 봐서는 윈도우 자체 보안프로그램이 꺼버린 것 같다.

unins000.exe는 언인스톨 프로그램인 것 같아서 실행시켜봤는데

진짜 지울거냐고 물어보고, 진짜 지워졌다고 말하긴 했지만

자기 자신만 지워진 채 아무것도 바뀌지 않았다.

아무튼 함부로 실행시켰다간 자신의 소중한 무언가를 잃게 될 수도 있으니 주의하기 바란다. 그리고 이런 낚시성 광고를 돈 준다고 그냥 게시해주는 페이스북도 정말 반성했으면 좋겠지만. 반성하지 않겠지…

게시됨

2022년 4월 30일

카테고리

작성자

snowall

태그:

댓글

댓글 남기기응답 취소

This site uses Akismet to reduce spam. Learn how your comment data is processed.