다양한 이름으로 유포되고 있는 허위백신들이 많이 존재한다.

이러한 허위백신은 사용자의 컴퓨터 사용을 불편하게 하고 있다.

6월에 발견된 허위백신 Live Security Platinum 이 7월에는 어떻게 변경되었는지 살펴보겠다.

 

6월에 발견된 허위백신의 모양은 보통의 보안제품과 유사한 형태를 갖고 있었으며, 7월에 발견된 변종도 유사한 형태를 갖고 있다.

 

[그림1] 6월과 7월에 발견된 Live Security Platium 허위백신

 

이번에 발견된 허위백신은 독일 우편 배송 업체를 위장한 e-mail 을 통해서 유포되었다.

[그림2] 독일 우편 배송 업체를 위장한 e-mail

 

e-mail 본문에는 우편 주소로 전달하는데 실패했고, 첨부된 파일을 확인하라는 내용이다. 첨부된 zip 파일을 압축해제 하면 [그림3]과 같은 pdf 아이콘으로 위장한 파일이 존재한다.

 

[그림3 압축해제 후 파일

 

[그림4] email 에 첨부된 Postetikett_Deutsche_Post_AG_DE 악성 파일 정보

 

해당 파일을 실행하게 되면, 아래와 같은 경로에 파일이 생성되고, 실행된다.

 

[그림5] 생성된 파일 위치

 

파일 생성과 더불어 바탕화면에 아이콘을 생성하고, 프로그램 목록에 자신을 등록한다.

[그림6] 아이콘 / 경고 문구

 

[그림7] 프로그램 목록에 추가된 화면

 

이 후 시스템이 악성코드에 감염된 것 처럼 사용자에게 허위정보를 보여준다.

허위 감염정보는 지난 6월과 동일하며, 지원하는 언어로 보아 6개 국가를 타켓으로 제작된 것으로 추정되나, 국내에도 감염자가 존재한다.

[그림8] 허위백신 화면

 

 

사용자가 치료를 하려고 하면 Activate 를 팝업시킨다.

[그림9] Activate 팝업

 

YES, 를 선택하면 결제를 유도하는 팝업창이 나타난다.

재미있게도 1달 사이에 가격이 많이 상승했다. :D

[그림10] 결제 유도 화면

 

허위백신의 대표적인 특징중에 하나인, 결제를 하지 않으면 주기적으로 Alert 창을 발생시켜 사용자의 컴퓨터 사용을 불편하게 한다.

 

[그림11] Alert 팝업

 

수동조치 방법은 악성 프로세스를 종료하고 생성된 파일을 삭제하면 된다.

다만, 악성코드에 의하여 작업관리자가 실행되지 않으므로, 작업관리자(taskmgr)의 파일명을 explorer 로 변경하여 실행 후, 악성프로세스를 종료/삭제하면 된다.

[그림12] 작업관리자 파일의 위치

 

[그림13] 악성 프로세스 끝내기

 

이러한 허위백신은 스팸메일을 통하여 유포되거나, 파일공유사이트와 같은 안전성이 확인되지 않은 공유 공간에서 유포가 이루어지는 경우가 많다.

 

사용자들은 발신인이 불명확한 메일이나, 안전성이 확인되지 않은 곳에서 파일을 다운로드 받지 않는 습관을 가져야 한다.

 

 

<V3 제품군의 진단명>

Trojan/Win32.FakeAV

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@

1.
현재 'Antimalware Doctor' 라는 FakeAV(허위백신) 감염사실이 다수 제보된 상태입니다. 같은 증상을 갖고 있는 네티즌들에게 도움이 되고자 'Antimalware Doctor'의 치료법을 안내하는 조치가이드를 작성하여 공유합니다.

2. 감염 증상
허위백신이 동작하면 아래와 같은 화면이 지속적으로 나타납니다.

[그림1. 감염 생성되는 ]

 위협요소를 치료하겠다고 클릭하면, 아래와 같이 Key 활성화되어있지 않다고 안내하며 결제페이지로 유도합니다.

[그림2. Key 활성화 안내창]


트레이에는 그림과 같은 2가지 아이콘이 생성되며, Close 눌러도 종료되지 않습니다.

[그림3. 트레이에 나타나는 아이콘] 

3. 조치 방법
현재 V3 제품에서 해당 허위백신을
Win-Trojan/Fakeav.743424 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 검사 치료를 진행해 보시기 바랍니다.

만일 V3 설치하지 않으셨다면, 아래의 링크를 통해 무료백신 V3lite 설치하여 치료하시기 바랍니다.


V3lite
바로가기 -
www.v3lite.com

수동으로 직접 조치를 원하시면 아래와 같이 진행하여 주십시오.

1. 시작->실행->Taskmgr 입력 후 gotnewupdate005.exe 를 프로그램 종료시킵니다.

2. Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 :
http://asec001.v3webhard.com/IceSword.zip

3. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로의 파일 및 폴더를 찾아 마우스 오른클릭 후 [
Force Delete]를 눌러 파일 및 폴더를 삭제 합니다.

참고 : http://core.ahnlab.com/18

C:\Documents and Settings\my\Application Data\[숫자영문혼합]\gotnewupdate005.exe
C:\Documents and Settings\my\Application Data\[숫자영문혼합]\hookdll.dll
C:\Documents and Settings\my\Application Data\[숫자영문혼합]\enemies-names.txt


4. 시스템을
재부팅 합니다.

※ 현재 gotnewupdate005000.exe 등의 변종파일도 발견되고 있으니, 조치시 참고하시기 바랍니다.
신고
Creative Commons License
Creative Commons License
Posted by 비회원
가짜백신을 만들어 돈을 많이 벌었나 봅니다.
2009년 1월 부터 AntiVirus 2009 --> System Security 2010 --> Home AntiVirus 2010, 벌써 세 번째 업데이트네요.
돈벌이가 되니 계속 만들어 내고 있는 거겠죠?

사설이 길었습니다. 계속 살펴보도록 하겠습니다.
사용자의 PC에 쓰레기 파일을 임의 생성시키고 그 파일을 다시 찾아 진단치료하는 과정에서 결재를 요구합니다.

설치되는 파일 정보입니다.

hp32_nword.exe (파일명에 차이가 있을 수 있음) : V3 진단명은 Win-Trojan/Reboot.27526
 ① 설치경로 : %system% 폴더 , \Documents and Settings\사용자계정\
 ② 주요 기능 
   - 윈도우즈의 중요 시스템 드라이버인 ntfs.sys 를 변경합니다.
    -->
C:\Windows\System32\Drivers\ntfs.sys 를 암호화하여 별도 보관하고 
    -->
변조된 ntfs.sys(Win32/Ntfs) 설치해서 악성코드를 지속적으로 다운로드/ 실행

   - 메모리상에서 변조된 svchost.exe를 실행 , 개인 정보(FTP 계정 정보등등)를 외부로 유출합니다.


braviax.exe : V3 진단명은 Win-Trojan/Downloader.9216.OJ
① 설치경로 : %system%  및 %windows% 폴더
② 주요 기능 
 
- C:\Windows\System32\Braviax.exe, C:\Windows\Braviax.exe 를 사용
   
HomeAntiVirus2010설치를 위한 wisdat.exe , wisdstr.exe 다운로드 및 실행
 
- 사용자 계정에 cru625.dat 를 만들어 DLL이 실행될 때마다 자동 인젝션(Injection)
  
- C:\Windows\System32\Drivers\Beep.sys 를 변경해 백신프로그램의 정상실행을 차단합니다.

wisdat.exe : V3 진단명은 Win-Trojan/Fraudload.184393
① 설치경로 : %system% 폴더,  C:\Program Files\HomeAntivirus2010\HomeAntiVirus2010 install
② 주요 기능 
   -
윈도우즈의 정상적인 sys파일인 ntfs.sys 파일을 암호화하여 별도 보관하고 변조된 ntfs.sys
     
(V3진단명: Win32/Ntfs)  파일을 설치하여 지속적으로 Home Antivirus2010 설치를 수행합니다.
   -
그에 따라 수동으로 ntfs.sys 파일을 삭제할 경우에는 HDD 의 포맷타입이 FAT32 방식이라면
     문제될 것이 없으나 NTFS 방식이라면 부팅이 안되고 에러 메세지가 발생하게 됩니다.  
     
이 때에는 윈도정품CD를 이용하여 콘솔모드로 로그인 한 후 ntfs.sys 파일을 재설치 해야 합니다.

다소 복잡해 보이네요.

마지막으로 대처하는 방법에 대해 살펴보겠습니다.

- V3를 이용한 치료

이 악성코드는 정상적인 ntfs.sys파일과 beep.sys 파일을 악성코드로 교체하고 정상파일은 암호화되어 별도의 보관장소에 보관합니다. 두 파일 중 ntfs.sys 파일은 NTFS 파일시스템을 이용하는 시스템에서 부팅 시 꼭 필요한 파일이므로 만약 교체된 악성코드를 임의로 삭제하게 되면 부팅시 필요한 파일이 삭제된 상태가 되고 이로 인해 부팅에러가 발생합니다. 따라서 반드시 V3를 이용한 치료를 하셔야 합니다.
V3에는 암호화되어 저장된 ntfs.sys 파일을 복호화하여 원래 위치로 복원해주는 기능이 추가되어 있습니다.


- SiteGuard를 이용한 감염 예방

SiteGuard에는 악성코드를 유포하는 유해 사이트들에 대한 접속을 차단하는 기능이 있습니다. 이러한 악성코드들이 대부분 악성 스크립트가 삽입된 웹사이트들을 통해 유포되기때문에 SiteGuard를 이용하시는 것은 피해 예방을 위해 도움이 될 수 있습니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원

이걸로 돈을 벌 수 있을까?
FakeAV라 칭하는 돈벌이용 백신들이 한동안 잠잠하다가 제목을 바꾸고 기능을 업데이트하여
다시 사용자들을 괴롭히고 있습니다.
오늘은 가장 최근 등장한 Home AntiVirus 2010에 대해 살펴 보고 대처하는 요령에 대해 설명 드리겠습니다.

무엇이 추가 되었나?
 2009년 초부터 등장했던 AntiVirus 2009, System Security 2010 과 비교 해 봅니다.
  

 

- 바탕화면을 변조하여 사용자의 불안감을 조장하는 기능을 없애 신뢰성을 높이려 했습니다.
- 윈도우즈의 정상 시스템 파일인 ntfs.sys 파일을 변조하여 악성코드 설치에 활용합니다.
- 윈도우즈 방화벽 기능을 해제하고 인터넷익스플로러 시작페이지를 구글로 변경합니다.
     ( HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start )

자 그럼 본격적으로 살펴볼까요.

감염증상 및 주요기능
감염이 되면 그럴 듯한 프로그램 창이 실행되면서 우측 하단 트레이 아이콘에 '감염경고'가 어김없이 등장합니다.

  


이쯤되면 사용자들은 당황하기 시작하고 내 PC가 이렇게 감염되었나 한탄하며 치료를 시도합니다.
설상가상으로 치료를 시도하려 하니, 어김없이 돈내고 치료하라는 결재 창이 뜹니다.

 잘 보셨죠? 속지맙시다!
 결재를 요구하는 허위백신 대처하는 방법 2에서 좀 더 살펴보고 대처하는 방법을 살펴보겠습니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원