Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

진행중 이벤트

Windows Forms Professional Utilities "Rufus"
OS Forms "OsBlood"

오매마켓

공지사항

내일부터 한글화 게시판을 운영중단 합니다

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트
profile 보안 소식 맥 PUP 설치로 금전적 이득 노리는 Installmiez

작성자: j1159 조회 수: 484 PC모드

* Installmiez


Installmiez 는 ExtInstall, InstallCore 등으로도 불리는 맥 PUP (Potential Unwanted Program)으로 2015년 초 처음 발견되었다. 2015년 최소 4,084개, 2016년 최소 59,125개, 2017년 2월까지 최소 17,473 개가 발견되어 2017년 2월 현재 8 만개 이상의 변형이 확인되었다.  



2244734D58B81050072493



초 기에는 가짜 플래시 플레이어 설치 파일 등으로 가장했지만 최근에는 실제 플래시 플레이어, 동영상 플레이어, 자바 등을 다운로드 해 설치하는 DMG 파일로 배포된다. 그리고 추가로 사용자에게 겁을 줘 과금을 유도하는 스케어웨어(Scareware)를 추가 설치하도록 유도한다. 제작자는 이런 프로그램 설치를 통해 돈을 벌고 있는 것으로 보인다. 


해당 프로그램 설치만으로는 악성코드가 설치되지 않아 트로이목마로 분류하지 않고 잠재적으로 원하지 않는 프로그램 (PUP)로 분류 된다. V3 제품군에서 해당 파일을 진단하기 위해서는 PUP 진단 기능을 활성화 해야 한다.



* DMG 분석



맥OS(macOS) 설치 파일인 DMG 파일로 배포되고 있다. 사용자가 DMG 파일을 연결하면 설치 파일 화면에 나타난다.



27086B3C58B8125534D391




Installer.app을 더블클릭하면 변형에 따라 Flash Video Player, HD Video Player, Java 등 중에 하나를 설치하는 화면이 나타난다. 


210CBA3658B8126D22F284


실제 동영상 플레이어 등이 설치된 후 웹브라우저로 특정 사이트 (예 : http://ic-dc.present***conecpt.com 등)로 접속해 시스템에 문제가 있을 수 있으니 점검을 위해 추가 프로그램 다운로드를 권한다. 설치하려는 프로그램에 따라 화면이 조금씩 다르다.


233DF14958B8156E1C3B4C


237E074958B8156F180A23


222CC84958B81570360D10


사용자가 다운로드를 승인 할 경우 추가 PUP가 다운로드 되고 더블클릭 하면 설치된다.



* 설치 프로그램 분석


설 치 되는 프로그램은 크게 어드벤스드 맥 클리너(Advanced Mac Cleaner), 맥키퍼(MacKeeper), 맥 메카닉(Mac Mechanic), 맥 퓨리파이어(Mac Purifier) 등이다. 이들 프로그램은 맥을 최적화 한다고 하지만 사소한 문제를 큰 문제처럼 과장해 사용자에게 겁을 주고 과금을 요구하는 프로그램으로 스케어웨어(Scareware)에 해당하는 PUP(Potential Unwanted Program)로 볼 수 있다. 특히 맥키퍼 제작사는 피해를 입은 사람들이 제기한 소송에 200 만 달러의 합의금을 내기도 했다.



276ED54958B815712E9ADA



225E1E4958B81571100C88



27286D4958B8157230CBE6



macOS를 설치한 시스템에서도 수십에서 1,500 개 이상의 문제가 있는 것처럼 보여준다.


23273A4958B815732A35D6



21680C4958B815741B16A7




270C244958B815750B5CC1



사용자가 문제를 해결하려고 앱 내 기능을 사용하면 과금을 요구한다.



2378364958B815753C77BD


2159534958B815762581D5



* 대응



불 필요한 프로그램 (PUP, Potential Unwanted Program) 이므로 기본 검사에서는 진단되지 않는다. V3 제품에서 진단하기 위해서는 검사 대상에서 ‘불필요한 프로그램(PUP)’을 진단 할 수 있게 선택해야 한다.


2719CF4A58B8106110ECAA



안랩 V3 제품군에서는 Installmiez DMG 파일은 BinImage/Installmiez 로 진단되며 최종 설치되는 실행 파일들은 프로그램에 따라 진단된다.



OSX-PUP/Amcleaner


OSX-PUP/Macmechanic


OSX-PUP/Mackeeper


OSX-PUP/Macpurifier



* 예방



InstallMiez 뿐만 아니라 다른 악성코드로부터의 완벽한 예방법은 없지만, 다음과 같은 예방법으로 감염 가능성을 최소화할 수는 있다. 참고로 맥OS의 기본 보안 기능으로는 해당 악성코드 설치 및 실행을 막을 수 없다. 



1. 최신 macOS 버전을 사용하고 앱스토어(App Store) 업데이트 기능으로 최신 업데이트를 유지한다.



2. 다운로드 해서 앱을 설치 하지 않는다면 앱스토어(APP Store)에서 다운로드 한 앱 허용을 선택한다. ([시스템 환경설정] -> [보안 및 개인 정보 보호]에서 설정 가능)



3. 백신 프로그램의 엔진 버전을 최신으로 유지하고 주기적으로 시스템 검사를 실시한다.



4. 백신 프로그램의 PUP 진단 기능을 활성화 한다.



5. 메일 첨부 파일 또는 다운로드 한 파일이 실행 파일일 경우 의도한 파일이 맞는지 확인한 후 실행한다.



6. 프로그램을 설치 할 때 최종 사용자 사용권 계약(EULA)를 유심히 읽거나 설치 화면에서 불필요한 추가 프로그램 설치가 이뤄지는지 유심히 확인한다.



7. 프로그램을 설치 하기 전에 해당 프로그램의 평판에 대해 알아 본다.





* 결론



맥 사용자가 증가하면서 맥 사용자를 노린 악성코드도 증가하고 있다. 이 중 사용자에게 겁을 줘 과금을 요구하는 PUP (Potential Unwanted Program)성 프로그램의 증가가 뚜렷하다. 인터넷에서 프로그램을 다운로드 할 때는 가급적 해당 프로그램의 평판을 확인할 필요가 있다. 몇몇 업체는 평판까지 속이기 위해 좋은 평의 내용을 올리는 경우도 있으므로 프로그램 다운로드 사이트 댓글 뿐 아니라 검색 엔진을 통해 얼마나 많은 사람들이 해당 앱의 제거를 원하는지도 확인할 필요가 있다.


---------

http://asec.ahnlab.com/1062


이 게시물을
test test test

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
목록

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

프리네

2017.03.07 16:12
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

정보 감사합니다.

profile

shaula

2017.03.07 17:08
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

감사합니다.

profile

Bobono

2017.03.07 17:30
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

좋은 정보 고맙습니다.

profile

무무심

2017.03.07 22:50
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다

profile

hallasan

2017.04.09 19:29
가입일:
총 게시물수: 0
총 댓글수: 375

감사합니다.

profile

대공

2017.09.02 15:19
가입일: 2018:11.01
총 게시물수: 26
총 댓글수: 1150

읽음요

profile

세계일주

2017.09.28 22:20
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

좋은 정보 고맙습니다.

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 576
220 일반 몰지각한 10대들의 돈벌이 해킹에 보안 전문교육 ‘불똥’ + 4 ordo 04-05 123
219 보안 소식 '스타크래프트'로 위장한 악성 파일 유포 발견 + 3 크로커스 04-04 54
218 보안 소식 [4.3 버그리포트] CVE + 6 ordo 04-03 97
217 보안 소식 금융 악성코드 드리덱스의 영리한 ‘위장’ 주의! + 4 ordo 04-03 51
216 보안 소식 날씨·광고 배너 통한 대량 악성코드 감염, ‘재발’ 우려 커지나 + 7 ordo 04-03 141
215 보안 소식 변경된 네이버 메인에 금감원 사칭 파밍! 점점 지능·신속화 + 5 ordo 04-03 150
214 보안 소식 '인증서 발급대행 권한' 회수 파장...구글-시만텍-한국전자인증, 무슨 일 있었나? + 9 크로커스 04-01 179
213 보안 소식 [!] 파워쉘을 이용한 ‘록키’ 랜섬웨어 변종 발견 + 5 ordo 04-01 71
212 보안 소식 [3.31 버그리포트] CVE-2017-7359 外 + 4 ordo 04-01 56
211 보안 소식 국내 블록체인 활성화 위한 힘찬 첫 걸음 + 4 ordo 04-01 90
210 보안 소식 [3.30 버그리포트] CVE-2017-7320 外 + 3 ordo 04-01 32
209 보안 소식 실수든 고의든, 해결책 묘연한 내부자 위협 + 4 ordo 04-01 40
208 보안 소식 애플과 MS, IoT와 서버 보안취약점 긴급 업데이트 + 5 ordo 03-30 136
207 보안 소식 [한국인터넷정보학회 칼럼] 국내 자체 개발 블록 암호 알고리즘 현황 + 5 ordo 03-30 156
206 보안 소식 해커들 귀가 쫑긋! DNS 하이재킹 선호도가 높아지는 이유 + 5 ordo 03-30 37
205 보안 소식 MS Application Verifier에서 Double Agent 제로데이 취약점 발견! + 3 ordo 03-29 168
204 보안 소식 LastPass 또 다시 취약점 발견! + 4 ordo 03-29 84
203 보안 소식 게임 유저들을 노린 파밍 악성코드, 주의! + 5 ordo 03-29 87
202 보안 소식 사이버 무기 '보안취약점' 암거래 활개친다 + 5 ordo 03-29 59
201 보안 소식 [긴급] 中 홍커연맹, 국내 17개 웹사이트 타깃 해킹 공격 개시 + 5 ordo 03-29 72
200 보안 소식 FBI, “익명 FTP 서버에 민감한 정보 저장 말라” + 4 ordo 03-29 83
199 보안 소식 [보안뉴스]국내 중견그룹 홈피 디페이스 공격! 중국발 해킹 본격화되나 + 5 ordo 03-28 131
198 보안 소식 [보안뉴스][3.27 버그리포트] CVE-2017-6066 + 5 ordo 03-27 103
197 보안 소식 Serv-U FTP/MFT Server 권한 상승 취약점 발견 + 5 ordo 03-27 312
196 보안 소식 공유기 DNS 변조 조직, 큐싱 등의 진화된 공격으로 다시 등장 + 8 ordo 03-27 206
목록 검색

오에스매니아