몇 년전부터 금전적인 목적을 가지고 있는 허위 백신들들은 사회적인 이슈들 또는 소셜 네트워크(Social Network)등을 통해 지속적으로 유포되었다. 


다양한 기법으로 유포되는 허위 백신 형태의 악성코들은 감염된 시스템에 존재하지 않는 악성코드 감염이라는 허위 정보를 시스템 사용자들에게 보여줌으로서 금전적인 결제를 유도하여 직접적인 금전 획득의 목적을 가지고 제작되었다.


특히 다양한 사회적인 이슈들과 IT 트렌드를 반영하여 PC 또는 모바일(Mobile) 형태까지 다양한 형태로 유포 되는 사례가 많았다.


2011년 1월 - AVG 백신으로 위장해 유포된 허위 백신


2011년 10월 - SNS로 전파되는 맥 OS X 대상의 허위 백신


2011년 10월 - 클라우드 백신으로 위장한 허위 백신 발견


2011년 12월 - 2012년 버전으로 위장한 허위 클라우드 백신


2012년 5월 - 안드로이드 모바일 허위 백신 유포


최근 윈도우(Windows) 운영체제를 개발하는 마이크로소프트(Microsoft)에서는 10월 26일 전 세계적으로 차기 윈도우 운영체제인 윈도우 8을 출시 할 계획이라고 밝힌 바가 있다.


이러한 시기를 맞추어 윈도우 8로 신뢰할 수 있는 백신이라는 이미지로 위장한 허위 백신이 발견되었다.


해당 허위 백신 형태의 악성코드에 감염되면 아래 이미지와 같이 "Win 8 Security System"이라는 명칭을 사용하여 최신의 신뢰 할 수 있는 백신으로 위장하고 있다.



해당 허위 백신은 과거에 발견되었던 다른 허위 백신 형태의 악성코드들과 동일하게 사용자의 실행 여부와 상관 없이 자동 실행되고 시스템 전체를 검사하게 된다. 


검사가 종료되면 위 이미지에서와 같이 시스템에 존재하지 않는 다수의 악성코드들에 감염되었음을 시스템 사용자에게 알리고 치료가 필요하다고 허위 정보를 제공하게 된다.


그리고 최종적으로는 아래 이미지와 동일하게 다수의 악성코드들에 감염된 시스템을 정상적으로 사용하기 위해서는 금전 결제를 제공하라는 이미지를 보여주어, 금전 결제를 유도하게 된다.



이 번에 발견된 윈도우 8 관련 백신으로 위장한 허위 백신은 V3 제품군에서 다음과 같이 진단한다.


Spyware/Win32.Zbot


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원

다양한 이름으로 유포되고 있는 허위백신들이 많이 존재한다.

이러한 허위백신은 사용자의 컴퓨터 사용을 불편하게 하고 있다.

6월에 발견된 허위백신 Live Security Platinum 이 7월에는 어떻게 변경되었는지 살펴보겠다.

 

6월에 발견된 허위백신의 모양은 보통의 보안제품과 유사한 형태를 갖고 있었으며, 7월에 발견된 변종도 유사한 형태를 갖고 있다.

 

[그림1] 6월과 7월에 발견된 Live Security Platium 허위백신

 

이번에 발견된 허위백신은 독일 우편 배송 업체를 위장한 e-mail 을 통해서 유포되었다.

[그림2] 독일 우편 배송 업체를 위장한 e-mail

 

e-mail 본문에는 우편 주소로 전달하는데 실패했고, 첨부된 파일을 확인하라는 내용이다. 첨부된 zip 파일을 압축해제 하면 [그림3]과 같은 pdf 아이콘으로 위장한 파일이 존재한다.

 

[그림3 압축해제 후 파일

 

[그림4] email 에 첨부된 Postetikett_Deutsche_Post_AG_DE 악성 파일 정보

 

해당 파일을 실행하게 되면, 아래와 같은 경로에 파일이 생성되고, 실행된다.

 

[그림5] 생성된 파일 위치

 

파일 생성과 더불어 바탕화면에 아이콘을 생성하고, 프로그램 목록에 자신을 등록한다.

[그림6] 아이콘 / 경고 문구

 

[그림7] 프로그램 목록에 추가된 화면

 

이 후 시스템이 악성코드에 감염된 것 처럼 사용자에게 허위정보를 보여준다.

허위 감염정보는 지난 6월과 동일하며, 지원하는 언어로 보아 6개 국가를 타켓으로 제작된 것으로 추정되나, 국내에도 감염자가 존재한다.

[그림8] 허위백신 화면

 

 

사용자가 치료를 하려고 하면 Activate 를 팝업시킨다.

[그림9] Activate 팝업

 

YES, 를 선택하면 결제를 유도하는 팝업창이 나타난다.

재미있게도 1달 사이에 가격이 많이 상승했다. :D

[그림10] 결제 유도 화면

 

허위백신의 대표적인 특징중에 하나인, 결제를 하지 않으면 주기적으로 Alert 창을 발생시켜 사용자의 컴퓨터 사용을 불편하게 한다.

 

[그림11] Alert 팝업

 

수동조치 방법은 악성 프로세스를 종료하고 생성된 파일을 삭제하면 된다.

다만, 악성코드에 의하여 작업관리자가 실행되지 않으므로, 작업관리자(taskmgr)의 파일명을 explorer 로 변경하여 실행 후, 악성프로세스를 종료/삭제하면 된다.

[그림12] 작업관리자 파일의 위치

 

[그림13] 악성 프로세스 끝내기

 

이러한 허위백신은 스팸메일을 통하여 유포되거나, 파일공유사이트와 같은 안전성이 확인되지 않은 공유 공간에서 유포가 이루어지는 경우가 많다.

 

사용자들은 발신인이 불명확한 메일이나, 안전성이 확인되지 않은 곳에서 파일을 다운로드 받지 않는 습관을 가져야 한다.

 

 

<V3 제품군의 진단명>

Trojan/Win32.FakeAV

신고
Creative Commons License
Creative Commons License
Posted by DH, L@@
1. 서론
금일 Digital Protection / Data Protection 이라는 프로그램명의 허위백신이 많이 발견되어 증상 및 조치가이드를 안내해 드립니다.


2. 감염 시 증상
해당 허위백신이 실행이 되면 아래와 같은 트레이 아이콘이 나타납니다.


[그림1. 감염 시 나타나는 트레이 아이콘]



이때 트레이 아이콘이나 메세지를 클릭하게 되면 아래와 같은 창이 나타납니다. 아래창은 프로그램을 설치하는 과정으로 속이기 위한 창으로 실제로는 허위백신과 관련된 파일을 특정 주소에서 다운로드 하는 과정입니다.


[그림2. 허위백신에 사용되는 파일을 다운로드 하는 화면]


시간이 지나면 아래와 같이 윈도우 보안 센터와 비슷하게 꾸민 창이 나타나며 바탕화면에 성인사이트로 연결하는 아이콘이 생성되기도 합니다.

[그림3. 윈도우 보안센터와 비슷하게 만든 거짓 알림 창]


그리고 아래와 같은 허위 안티바이러스(백신) 프로그램이 실행 됩니다.

[그림4. 허위 안티바이러스(백신) 실행 화면]



3. 조치 방법
현재 V3 제품에서 해당 허위백신을 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.

만약 수동으로 조치를 하고자 하신다면 아래와 같이 진행하시기 바랍니다.

1. Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip


2. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로의 파일 및 폴더를 찾아 마우스 오른클릭 후 [Force Delete]를 눌러 파일 및 폴더를 삭제 합니다.
참고 : http://core.ahnlab.com/18

(Windows XP 시스템일 경우)
C:\Documents and Settings\사용자 계정\Local Settings\Temp\asrkn_pfu.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\bootvrfy.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\mscdexnt.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\dmadmin.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\kernel64xp.dll

(Windows Vista 혹은 Windows 7 시스템일 경우)
C:\Users\사용자 계정\Appdata\Local\Temp\asrkn_pfu.exe
C:\Users\사용자 계정\Appdata\Local\Temp\bootvrfy.exe
C:\Users\사용자 계정\Appdata\Local\Temp\mscdexnt.exe
C:\Users\사용자 계정\Appdata\Local\Temp\dmadmin.exe

C:\Users\사용자 계정\Appdata\Local\Temp\kernel64xp.dll

(이하 내용은 모든 Windows가 동일하며 해당 폴더가 없으면 무시하셔도 됩니다.)
C:\Program Files\Digital protection
(폴더 전체를 삭제)
C:\Program Files\Data protection (폴더 전체를 삭제)
C:\Windows\pragmavmkoismonw (폴더 전체를 삭제)


3. 시스템을 재부팅을 합니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
Myspace 비밀번호 관련 메일로 위장하여 악성코드를 유포하는 스팸메일이 확인되어 안내 드립니다.

제목 : Myspace Password Reset Confirmation! Your Support
Hey ,
,
,
,
,
,
,
,
Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.
Thanks,
The Myspace Team.

첨부파일의 이름은 password.zip 파일이며 해당 파일은 악성코드 입니다. 현재 해당 파일은 V3 제품군에서 Win-Trojan/Fakeav.183296.I 진단명으로 진단이 가능합니다.

만약 해당 파일을 실행하게 되면 아래와 같은 증상이 나타나게 됩니다. 우선 허위 안티바이러스(백신) 프로그램이 나타납니다. 현재 아래 스크린샷에서의 이름은 XP AntiMalware 2010 이지만 이 이름은 마이크로소프트 윈도우즈 버전 별로 다르게 나타날 수 있습니다. 자세한 내용은 아래 포스팅을 참고하시기 바랍니다.

허위백신으로 인한 증상 및 조치 방법 :
http://core.ahnlab.com/135



그리고 인터넷 익스플로러 실행 시 아래와 같이 키로거가 설치되어 있다는 경고 메세지와 함께 익스플로러에서 사이트로 접속 시 원하는 페이지가 나타나지 않는것을 확인할 수 있습니다.




그리고 주기적으로 아래와 같은 경고 메시지와 우측 하단의 트레이 아이콘이 표시되는 부분에 아래와 같은 경고 메세지 및 트레이 아이콘이 생성되게 됩니다.




이러한 허위 안티바이러스(백신)은 현재 대부분 이렇게 스팸메일 혹은 구글 검색 시 나타나는 SEO Attack 형태로 감염되니 항상 아래와 같은 사항을 준수하여 미연에 방지하시기 바랍니다.

1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.

신고
Creative Commons License
Creative Commons License
Posted by 비회원
1. 서론
  최근 허위백신으로 인하여 피해가 다수 발생하고 있어 증상 및 임시 조치 방법을 소개하고자 해당 내용을 작성 합니다.


2. 증상
 해당 악성코드에 감염이 되면 아래와 같은 허위 백신이 실행되며 허위로 악성코드를 진단하여 결제를 유도하게 됩니다.

[그림1. 허위백신이 실행된 화면]


위 이미지에서는 AntiVirus XP 2010 이지만 아래와 같이 다수의 이름이 존재합니다.

 Windows 7 WIndows Vista  Windows XP
Win 7 Internet Security 2010
 Win 7 Internet Security
 Win 7 Antivirus Pro 2010
 Win 7 Antivirus Pro
 Win 7 Antivirus 2010
 Win 7 Antivirus
 Win 7 Defender 2010
 Win 7 Guardian
 Win 7 Guardian 2010
 Antivirus Win 7 2010
 Win 7 Antispyware 2010
 Vista Internet Security 2010
 Vista Internet Security
 Vista Antivirus Pro 2010
 Vista Antivirus Pro
 Vista Antivirus 2010
 Vista Antivirus
 Vista Defender 2010
 Vista Guardian
 Vista Guardian 2010
 Antivirus Vista 2010
 Vista Antispyware 2010
 XP Internet Security 2010 
 XP Internet Security 
 XP Antivirus Pro 2010
 XP Antivirus Pro 
 XP Antivirus 2010
 XP Antivirus 
 XP Defender 2010 
 XP Guardian
 XP Guardian 2010 
 Antivirus XP 2010
 XP Antispyware 2010
[표1. 운영체제 별로 나타나는 허위 백신 이름 목록]


[그림2. 허위백신이 실행된 화면]


감염 시 인터넷 익스플로러를 실행하여 특정 사이트를 접속할 경우 아래와 같은 화면이 나타나며 역시 허위로 악성코드를 진단하는 화면을 확인하실 수 있습니다.
혹은 원하는 페이지가 열리지 않으며 악성코드 진단 관련 화면이 나타나 웹서핑을 방해하는 경우도 발생합니다.


[그림3. 웹사이트 접속 시 허위백신이 실행된 화면]



3. 조치 방법
현재 해당 허위 백신이 실행이 되면 확인된 바로는 아래와 같은 파일을 생성 하게 됩니다.

[파일 생성]
C:\Documents and Settings\ByJJoon\Local Settings\Application Data\av.exe
C:\Documents and Settings\ByJJoon\Local Settings\Application Data\ave.exe

[레지스트리 변경]
HKEY_CLASSES_ROOT\.exe (변경)
기본값 : exefile, 변경값 : ***file

HKEY_CLASSES_ROOT\SECFILE (생성)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe (변경)
기본값 : exefile, 변경값 : ***file

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SECFILE (생성)

따라서 위에 안내해 드리는 파일을 삭제를 우선 합니다. 삭제 방법은 위 경로를 찾아가 삭제를 하시기 바랍니다. 만약 삭제가 안된다면 현재 실행중인 경우 삭제가 안될수도 있으니 [Ctrl + Alt + Del] 키를 눌러 [작업 관리자]를 실행시킨 후 av.exe 혹은 ave.exe를 찾아 선택 후 아래에 있는 [프로세스 끝내기] 버튼을 눌러 끝낸 후 삭제를 하시기 바랍니다.

[그림4. 삭제가 안될 경우 프로세스를 종료 하는 방법]



삭제를 한 후 레지스트리 값을 수정하지 않은채로 프로그램을 실행할 경우 아래와 같이 연결프로그램 창이 나타나게 됩니다.
따라서 아래 안내해 드리는 레지스트리 치료 전용백신을 이용하여 수정되는 레지스트리를 모두 조치하시기 바랍니다.


레지스트리 치료 전용백신 다운로드 (아래 클릭)



[그림5. 파일 삭제 후 레지스트리 값 수정을 하지 않을 경우 나타나는 화면]



4. 예방 방법
1. 스팸 메일을 통한 전파
- 메일 열람 시 확인되지 않은 발신자에게서 온 메일에 포함된 첨부파일은 실행하지 않도록 합니다. 그리고 최근 PDF 취약점을 이용한 악성코드가 유행하고 있어 첨부파일의 확장자가 EXE가 아니더라도 열람을 하지 않는 것을 권장 드립니다.

2. Adobe 관련 프로그램 보안 업데이트
- PDF 파일 및 Flash 취약점을 이용하여 해당 악성코드가 전파되기도 합니다. PDF 파일 관련 취약점은 아래 주소를 참고하시어 업데이트 하시기 바랍니다.
http://core.ahnlab.com/104

3. Microsoft Windows 보안 취약점을 통한 감염
- 윈도우 보안 취약점을 이용하여 악성코드에 감염이 되는 경우도 많습니다. 따라서 윈도우 보안 업데이트를 꼭! 하여 미연에 예방하도록 합니다. 업데이트 방법은 인터넷 익스플로러 실행 후 메뉴에서 [도구] - [Windows Update] 를 선택하여 업데이트를 하도록 합니다.



5. 기타
 위 안내해 드리는 내용은 완벽한 조치 방법은 아니며 연결 프로그램 창이나 기타 불편을 겪는 사용자를 위한 내용입니다. 완벽한 치료를 위해서는 V3 제품을 이용하여 검사 및 치료를 권장해 드립니다.


OS 별 허위 백신 목록 출처 : http://blogs.technet.com/mmpc/archive/2010/03/09/win32-fakerean-is-33-rogues-in-1.aspx
신고
Creative Commons License
Creative Commons License
Posted by 비회원
최근 비행기 티켓과 관련된 스팸메일을 발송하여 허위 백신(Fake AV)을 설치하는 악성코드가 발견되어 알려 드립니다. 메일은 아래와 같은 제목으로 수신이 되게 됩니다.

제목 : Online order for airplane ticket N숫자

내용 : Good afternoon,
Thank you for using our new service "Buy airplane ticket Online" on our website.
Your account has been created:
Your login: 메일주소
Your password: G6vFjbdp
Your credit card has been charged for $998.63.
We would like to remind you that whenever you order tickets on our website you get a discount of 10%!
Attached to this message is the purchase Invoice and the airplane ticket.
To use your ticket, simply print it on a color printed, and you are set to take off for the journey!
Kind regards,
Delta Air Lines

첨부파일로 eTicket.zip 이라는 파일을 포함하고 있습니다. 해당 파일을 실행하면 아래와 같이 허위 백신(Fake AV)가 설치되게 됩니다.

현재 해당 파일은 V3 제품군에서
Win-Trojan/Fakeav.186880.E 진단명으로 진단 및 치료가 가능합니다.





해당 허위 백신(Fake AV)는 설치 시 윈도우의 레지스트리를 수정하여 exe 파일 실행 시 허위 백신 프로그램과 같이 실행되도록 하고 있습니다.

따라서 레지스트리를 수정하지 않고 허위백신 실행 파일만 찾아 수동으로 삭제할 경우 아래와 같이 연결프로그램 창이 나타나며 EXE 파일이 모두 실행이 안되는 증상을 겪으실 수 있으니 사용자분들께서는 수동으로 제거를 하지 말고 V3 제품으로 치료를 하는 것을 권장 드립니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원

악성 파일을 첨부한 스팸메일은 2010년에도 여전히 기승을 부리고 있네요.

A new settings file for the [사용자메일주소] has just be released

상기 메일 제목으로 악성파일을 첨부하여 배포되고 있습니다. 메일 내 본문 내용은 아래 회색 박스 안과 같은 내용입니다. 참 그럴 듯하게 작성해 놓았네요. 악성코드를 배포할려면 글을 잘 쓸 필요도 있겠습니다 ^^;;;


Dear use of the ahnlab.com mailing service!
We are informing you that because of the security upgrade of the mailing service your mailbox [사용자 메일 주소] settings were changed. In order to apply the new set of settings open attached file.
Best regards, [사용자 메일 서비스 URL] Technical Support.


  첨부된 파일은 settings.zip이며 압축을 푼 모습은 왼쪽 그림과 같습니다.


첨부된 파일은 실행 후 아래와 같이 'XP Guardian'이라는 FakeAV를 실행시켜 허위 진단 및 경고창을 지속적으로 팝업시킵니다.




1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.






신고
Creative Commons License
Creative Commons License

'악성코드 정보' 카테고리의 다른 글

Taiwan Earthquake  (2) 2010.03.05
SEO Poisoning  (2) 2010.03.03
A new settings file for the [사용자메일주소] has just be released  (6) 2010.02.27
updated account agreement  (2) 2010.02.14
UPS Delivery Problem NR.숫자  (2) 2010.01.12
For the owner of the 메일주소 mailbox  (2) 2010.01.12
Posted by 비회원
1. 서론
 최근 허위 안티바이러스 프로그램인 Antivirus Live 가 유포되고 있습니다. 해당 악성코드에 감염시 대부분의 프로세스가 실행되지 않는 어려움이 있어, 감염 증상 및 조치 방법의 안내를 위해 조치 가이드를 작성합니다.


2. 감염 증상
2.1 허위 악성코드 감염 경고
 해당 악성코드에 감염되면 아래 그림들과 같이 허위 안티바이러스 프로그램의 실행 창 및 허위 진단 내용이 출력됩니다.

 [그림 1] 허위 안티바이러스 프로그램 실행 화면

 
[그림 2] 허위 경고창
 
[그림 3] 허위 Tray 경고창


2.2 광고 페이지 연결
 특정 사이트를 사용자의 동의 없이 지속적으로 띄웁니다.


2.3 대부분의 프로그램 실행 불가
 해당 프로그램이 실행중인 경우, 허용된 프로세스 외에 프로세스의 실행이 불가하여 다른 프로그램을 사용하는데 어려움이 발생합니다.


3. 조치 방법
3.1 감염시 조치사항
 해당 악성코드에 감염된 정상 모드에서는 허용된 프로세스 외에 대부분의 프로그램이 실행되지 않으므로, 안전모드에서의 조치가 필요합니다.

1) 안전모드(네트워킹 사용)로 부팅 후  V3 스마트 업데이트를 실행하여 최신엔진으로 업데이트한 다음, 수동 검사(정밀 검사)를 통한 시스템 전체 검사를 수행합니다.

자세한 내용 : http://core.ahnlab.com/53

2) 만일, V3에서 진단되지 않는 경우라면 아래의 경로에서 문제가 되는 파일을 찾아 임의의 폴더에 복사한 후 삭제합니다. 임의의 폴더에 복사한 파일은 압축하여 안철수연구소 홈페이지의 ‘바이러스 신고센터’로 접수합니다.

C:\Documents and Settings\[사용자계정]\Local Settings\Application Data\[영문 6자리]\[영문 4자리]+sysguard.exe

3) 문제가 되는 파일을 삭제한 후, 재부팅하여 증상을 확인합니다.


3.2 웹 페이지 접속 불가시 조치사항
 해당 악성파일의 실행으로 인해 인터넷 속성이 변경(프록시 서버 설정값)되어 웹 페이지의 접속이 불가할 경우, 아래 안내 드리는 방법으로의 수행을 요청 드립니다.

1) 인터넷 창을 실행합니다.
2) 상단 메뉴의 [도구] > [인터넷 옵션]을 선택합니다.
3) [연결]탭의 'LAN설정'항목 내의 [LAN설정]을 선택합니다.
4) '프록시 서버' 항목의 [사용자 LAN에 프록시 설정 사용...]에 체크를 해제한 후, 확인합니다.


4. 예방 방법
1) 주기적인 업데이트로 V3 제품을 항상 최신엔진으로 유지하며, 실시간 감시 기능을 활성화합니다.
2) 웹 페이지를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 설치합니다.
3) 윈도우 취약점을 이용한 악성코드 감염을 예방하기 위해 Windows Update 를 통해 윈도우 보안 패치를 확인하고 설치합니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원
"Conflicker.B Infection Alert" 라는 제목으로 스팸 메일이 유포 중입니다. 첨부된 파일은 허위백신 인스톨 파일이며 V3에서는 Win-Trojan/Fakeav.Gen 진단명으로 진단을 하고 있습니다. 해당 메일을 수신하셨다면 삭제하시기 바랍니다.

아래는 해당 메일의 본문입니다.

Dear Microsoft Customer,
Starting 18/10/2009 the ‘Conficker’ worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division



신고
Creative Commons License
Creative Commons License
Posted by 비회원
가짜백신을 만들어 돈을 많이 벌었나 봅니다.
2009년 1월 부터 AntiVirus 2009 --> System Security 2010 --> Home AntiVirus 2010, 벌써 세 번째 업데이트네요.
돈벌이가 되니 계속 만들어 내고 있는 거겠죠?

사설이 길었습니다. 계속 살펴보도록 하겠습니다.
사용자의 PC에 쓰레기 파일을 임의 생성시키고 그 파일을 다시 찾아 진단치료하는 과정에서 결재를 요구합니다.

설치되는 파일 정보입니다.

hp32_nword.exe (파일명에 차이가 있을 수 있음) : V3 진단명은 Win-Trojan/Reboot.27526
 ① 설치경로 : %system% 폴더 , \Documents and Settings\사용자계정\
 ② 주요 기능 
   - 윈도우즈의 중요 시스템 드라이버인 ntfs.sys 를 변경합니다.
    -->
C:\Windows\System32\Drivers\ntfs.sys 를 암호화하여 별도 보관하고 
    -->
변조된 ntfs.sys(Win32/Ntfs) 설치해서 악성코드를 지속적으로 다운로드/ 실행

   - 메모리상에서 변조된 svchost.exe를 실행 , 개인 정보(FTP 계정 정보등등)를 외부로 유출합니다.


braviax.exe : V3 진단명은 Win-Trojan/Downloader.9216.OJ
① 설치경로 : %system%  및 %windows% 폴더
② 주요 기능 
 
- C:\Windows\System32\Braviax.exe, C:\Windows\Braviax.exe 를 사용
   
HomeAntiVirus2010설치를 위한 wisdat.exe , wisdstr.exe 다운로드 및 실행
 
- 사용자 계정에 cru625.dat 를 만들어 DLL이 실행될 때마다 자동 인젝션(Injection)
  
- C:\Windows\System32\Drivers\Beep.sys 를 변경해 백신프로그램의 정상실행을 차단합니다.

wisdat.exe : V3 진단명은 Win-Trojan/Fraudload.184393
① 설치경로 : %system% 폴더,  C:\Program Files\HomeAntivirus2010\HomeAntiVirus2010 install
② 주요 기능 
   -
윈도우즈의 정상적인 sys파일인 ntfs.sys 파일을 암호화하여 별도 보관하고 변조된 ntfs.sys
     
(V3진단명: Win32/Ntfs)  파일을 설치하여 지속적으로 Home Antivirus2010 설치를 수행합니다.
   -
그에 따라 수동으로 ntfs.sys 파일을 삭제할 경우에는 HDD 의 포맷타입이 FAT32 방식이라면
     문제될 것이 없으나 NTFS 방식이라면 부팅이 안되고 에러 메세지가 발생하게 됩니다.  
     
이 때에는 윈도정품CD를 이용하여 콘솔모드로 로그인 한 후 ntfs.sys 파일을 재설치 해야 합니다.

다소 복잡해 보이네요.

마지막으로 대처하는 방법에 대해 살펴보겠습니다.

- V3를 이용한 치료

이 악성코드는 정상적인 ntfs.sys파일과 beep.sys 파일을 악성코드로 교체하고 정상파일은 암호화되어 별도의 보관장소에 보관합니다. 두 파일 중 ntfs.sys 파일은 NTFS 파일시스템을 이용하는 시스템에서 부팅 시 꼭 필요한 파일이므로 만약 교체된 악성코드를 임의로 삭제하게 되면 부팅시 필요한 파일이 삭제된 상태가 되고 이로 인해 부팅에러가 발생합니다. 따라서 반드시 V3를 이용한 치료를 하셔야 합니다.
V3에는 암호화되어 저장된 ntfs.sys 파일을 복호화하여 원래 위치로 복원해주는 기능이 추가되어 있습니다.


- SiteGuard를 이용한 감염 예방

SiteGuard에는 악성코드를 유포하는 유해 사이트들에 대한 접속을 차단하는 기능이 있습니다. 이러한 악성코드들이 대부분 악성 스크립트가 삽입된 웹사이트들을 통해 유포되기때문에 SiteGuard를 이용하시는 것은 피해 예방을 위해 도움이 될 수 있습니다.


신고
Creative Commons License
Creative Commons License
Posted by 비회원