1. 서  론

이름을 바꿔가며 변형이 유포되며, 그리고 감염 피해가 발생되고 있는 허위 백신 프로그램이 최근에는 'System Tool 2011'이라는 이름으로 유포되고 있어 주의가 필요합니다.

- 관련 포스팅 글 : http://core.ahnlab.com/52


2. 악성코드 유포 방법 및 증상

주로 SEO(Search Engine Optimazation) 기법, 또는 스팸 메일을 통해 유포되어 왔으며, System Tool, Total Security 같은 유사한 이름으로 변경되어 유포되고 있습니다.

감염 후, 아래와 같이 배경화면이 변경되어 악성코드에 감염됨을 확인할 수 있습니다.

[그림 1] 감염시 변경된 배경화면

그리고 아래와 같이 허위 감염창을 띄워 사용자로 하여금 악성코드에 감염된 것 처럼 보여주게 됩니다.

[그림 2] 허위 진단 창

또한, 실행 파일들에 대한 실행이 불가하게 되며, 실행시 아래 그림과 같이 파일이 감염되어 실행할 수 없다는 메시지를 띄우게 됩니다.

[그림 3] 파일 실행시 허위 감염 메시지

이와 거의 동일한 글이 이전에도 포스팅(http://core.ahnlab.com/52)되어 있으며 함께 참고하시기를 권해드립니다.

다만, 해당 악성코드에 감염시에는 대부분의 파일에 대한 실행을 방해하여, 조치에 어려움이 있으므로 아래와 같은 방법으로의 조치를 권해드립니다.

1) 악성코드에 감염시 생성되는 바탕화면의 바로가기 아이콘(System Tool 2011.lnk)에서 마우스 오른쪽 버튼을 눌러 [속성]을 클릭합니다.

[그림 4] 바로가기 파일의 속성 확인


2) 바로가기 등록정보상에서 [그림 5] 내용과 같이 파일의 경로 및 파일 명을 확인합니다.

[그림 5] 연결된 파일 찾기
 
3) 안내드리는 툴(IceSword 또는 GMER)을 다운로드하여 파일명을 변경(gmer.exe -> iexplore.exe, 아래 '파일명 변경 가이드' 참조)한 후, 실행하여 관련 프로세스를 종료 및 파일을 삭제합니다.
(Windows Vista 이상의 OS에서는 IceSword 사용이 불가하므로 GMER 툴로의 조치가 필요)

<파일명 변경 가이드>
- 인터넷이 실행되는 경우 iexplore.exe 로 변경 후 실행
- 윈도우 주요 프로세스명(explorer.exe, winlogon.exe, csrss.exe 등)으로 변경 후 실행

<툴 다운로드시 참고사항> 
예를 들어 GMER 툴을 다운로드하는 경우, 압축해제 툴의 실행이 불가하므로 아래와 같은 방법이 필요합니다.

1) 압축파일에 대해서(예. gmer.zip) 마우스 우클릭합니다.
2) [연결 프로그램] > [Windows 탐색기]를 선택하여 확인되는 파일을 복사하여 바탕화면에 [붙여넣기]합니다.
('Windows 탐색기' 항목 없는 경우, [연결 프로그램] > [프로그램선택 > [찾아보기]를 클릭하여C:\WINDOWS\Explorer.exe 를 선택)
 
* 툴에 관한 자세한 안내 및 관련 내용은 아래의 블로그 내용을 참조하시기를 권해드립니다.
 

신고
Posted by 비회원