본문 바로가기

조치 가이드

System Tool 2011 조치 안내

1. 서  론

이름을 바꿔가며 변형이 유포되며, 그리고 감염 피해가 발생되고 있는 허위 백신 프로그램이 최근에는 'System Tool 2011'이라는 이름으로 유포되고 있어 주의가 필요합니다.

- 관련 포스팅 글 : http://core.ahnlab.com/52


2. 악성코드 유포 방법 및 증상

주로 SEO(Search Engine Optimazation) 기법, 또는 스팸 메일을 통해 유포되어 왔으며, System Tool, Total Security 같은 유사한 이름으로 변경되어 유포되고 있습니다.

감염 후, 아래와 같이 배경화면이 변경되어 악성코드에 감염됨을 확인할 수 있습니다.

[그림 1] 감염시 변경된 배경화면

그리고 아래와 같이 허위 감염창을 띄워 사용자로 하여금 악성코드에 감염된 것 처럼 보여주게 됩니다.

[그림 2] 허위 진단 창

또한, 실행 파일들에 대한 실행이 불가하게 되며, 실행시 아래 그림과 같이 파일이 감염되어 실행할 수 없다는 메시지를 띄우게 됩니다.

[그림 3] 파일 실행시 허위 감염 메시지

이와 거의 동일한 글이 이전에도 포스팅(http://core.ahnlab.com/52)되어 있으며 함께 참고하시기를 권해드립니다.

다만, 해당 악성코드에 감염시에는 대부분의 파일에 대한 실행을 방해하여, 조치에 어려움이 있으므로 아래와 같은 방법으로의 조치를 권해드립니다.

1) 악성코드에 감염시 생성되는 바탕화면의 바로가기 아이콘(System Tool 2011.lnk)에서 마우스 오른쪽 버튼을 눌러 [속성]을 클릭합니다.

[그림 4] 바로가기 파일의 속성 확인


2) 바로가기 등록정보상에서 [그림 5] 내용과 같이 파일의 경로 및 파일 명을 확인합니다.

[그림 5] 연결된 파일 찾기
 
3) 안내드리는 툴(IceSword 또는 GMER)을 다운로드하여 파일명을 변경(gmer.exe -> iexplore.exe, 아래 '파일명 변경 가이드' 참조)한 후, 실행하여 관련 프로세스를 종료 및 파일을 삭제합니다.
(Windows Vista 이상의 OS에서는 IceSword 사용이 불가하므로 GMER 툴로의 조치가 필요)

<파일명 변경 가이드>
- 인터넷이 실행되는 경우 iexplore.exe 로 변경 후 실행
- 윈도우 주요 프로세스명(explorer.exe, winlogon.exe, csrss.exe 등)으로 변경 후 실행

<툴 다운로드시 참고사항> 
예를 들어 GMER 툴을 다운로드하는 경우, 압축해제 툴의 실행이 불가하므로 아래와 같은 방법이 필요합니다.

1) 압축파일에 대해서(예. gmer.zip) 마우스 우클릭합니다.
2) [연결 프로그램] > [Windows 탐색기]를 선택하여 확인되는 파일을 복사하여 바탕화면에 [붙여넣기]합니다.
('Windows 탐색기' 항목 없는 경우, [연결 프로그램] > [프로그램선택 > [찾아보기]를 클릭하여C:\WINDOWS\Explorer.exe 를 선택)
 
* 툴에 관한 자세한 안내 및 관련 내용은 아래의 블로그 내용을 참조하시기를 권해드립니다.
 

  • 이전 댓글 더보기
  • 요세는 백신이고뭐고...... 믿을때가 없네요 ㅠ 이런새상이 빨리 없어졌으면 좋겠어요

  • 고마워요 2011.01.23 02:21 신고 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 덕분에 잘 지웠어요 세상에 별 독한게 다있네요...

  • GMER.exe 이거어케해야되요? 2011.01.25 13:42 신고 댓글주소 수정/삭제 댓글쓰기

    실행하려고 하면 시스템툴에서 막아버리네요;;
    확장자명 com 으로 바꿔도 막히던데;;
    방법이없는건가요 ㅜ?

  • tkf살려주세요ㅠㅠ 2011.01.28 13:45 신고 댓글주소 수정/삭제 댓글쓰기

    어떻게 지우는지 모르겠어요 확장자명은 또 어떻게 바꾸죠 ㅠㅠ 저같은 컴맹은 뭔소린지 모르겠어요 ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ아 너무 화나 도대체 이건 왜 걸리는거에여??전 받은게 없는데..

  • 저기요 ㅠㅠ 2011.02.05 02:23 신고 댓글주소 수정/삭제 댓글쓰기

    안철수님 저는 모르고 그 파일을 삭제햇는데 어떻게요? 그리고 검색햇는데 또떠서 그것도 삭제해버렷어요...

  • 비밀댓글입니다

  • ㅠㅠㅠ 2011.02.10 11:54 신고 댓글주소 수정/삭제 댓글쓰기

    시스템 툴 파일이 없고 그냥 화면만 본문 캡쳐화면처럼 뜨네요. 검색해봐도 파일이 안나오구요..

  • 어떡하면 좋을까요? 2011.02.11 13:42 신고 댓글주소 수정/삭제 댓글쓰기

    저도 위의분처럼 작업표시줄에만 system tool이있지..바탕화면에 그런 아이콘이 없네요...어떻게 하면 좋을까요...ㅠㅠ 파일을 열고 싶어도 다 차단시켜버려서...열지를 못하네요..

  • 살려주세여 2011.02.15 00:35 신고 댓글주소 수정/삭제 댓글쓰기

    바탕화면에 해당 가까백신아이콘도 없고요 ㅠ 다운 받은 제거 프로그램 이름명 바꿔서 실행할라고 해도 실행이 안되고요 ㅠㅠㅠㅠㅠㅠㅠㅠㅠ 이거 어떻게 해야 하나요 ㅠㅠㅠ 아 진짜 미치겠습니다 ㅠ

  • 살았습니다 2011.02.15 01:18 신고 댓글주소 수정/삭제 댓글쓰기

    앗, 해결됐네요 ㅠ 압축상태로 ㅎㅎ 파일명 바꿔서 ㅎㅎ 실행하란 소리로 알아들었네요;
    압축은 안전모드에서 풀었고... 걍 예시에 나와있는 어플리케이션데이타 ㅎㅎ 에 요상한
    문자숫자 조합인거.. 속는셈 치고 지웠더니, 삭제 됐습니다 ㅠㅠ 흙 ㅠㅠ 이놈들이 더욱 업그레이드
    ㅎㅎ 를 해서 배포를 하는거 같네요 ㅠ 암튼 감사해요! ㅠ

  • 아안된다..

  • lionzx 2011.02.16 10:35 신고 댓글주소 수정/삭제 댓글쓰기

    부팅시 F8을 눌러 안전모드(명령 프롬프트)로 부팅,
    (윈도 로그인시 최고권한의 관리자로 들어감)

    커멘트 창에서

    c:\documents and settings\all users\application data\ 폴더로 이동

    영문과 숫자로 조합된 의심폴더를 찾으신후 삭제하시면 됩니다.(파일생성일 확인)

    재부팅후 윈도우로 로그인하면 문제가 없습니다.

    XP에서 삭제한 방법으로, 기타버전에서는 확인이 필요합니다.

  • 으앙 2011.02.27 17:01 신고 댓글주소 수정/삭제 댓글쓰기

    바탕화면에 아이콘이 없어요ㅠㅠ 어떡하죠

  • 바탕화면에아이콘이생기지가않아요 어떡해야하죠 정말 빨리 부탁드려요

  • Vista에서 해결 2011.03.05 22:41 신고 댓글주소 수정/삭제 댓글쓰기

    일단 저는 안전모드로 들어가지 않았고, 인터넷이 열리는 상황에서 조치했습니다.

    먼저 icesword.exe 파일을 '저장'합니다 (열기 하시면 절대 안 열립니다)

    위와 같이 파일명을 'explorer.exe'나 'winlogon.exe'로 바꿉니다

    이렇게 파일명을 바꾸면 실행되더라고요

    왼쪽 Process 탭에서 먼저 영문과 숫자 조합의 프로세스를 찾습니다

    (저는 'pPfAbHo09100.exe' 라는 이름이더군요)

    오른쪽에 경로가 보일 겁니다 그 경로를 주소창에 치시면 그 이름으로 된 폴더가 있고,

    그 안에 그 이름의 파일이 있으니 삭제해 주시면 됩니다

    (삭제 전에 먼저 icesword 프로그램에서 프로세스를 종료시키셔야 합니다 오른쪽 클릭하여

    Terminate Process를 선택하면 종료됩니다)

    비스타에서의 경로는.... 'C:\ProgramData' 겠습니다

  • 짜증나 2011.03.09 03:46 신고 댓글주소 수정/삭제 댓글쓰기

    한 시간 반의 사투 끝에 드디어 처리를 한 건지 안 한건지 모르겟는 데, 하여튼 두번 재부팅 결과는 아무것도 안 나오네요. 저는 윈도우7 쓰고 있구요, 다들 증상은 아시겠지요.
    제가 치료한 순서입니다.

    (저처럼 컴퓨터 왕초보를 위해 차근차근 설명할께요)

    1. 일단 프로그램명을 확인해야 하는 데 숫자 8자리는 아니었고, 영어와 숫자 혼합으로 되어 있었습니다.
    그 ^^같은 프로그램 창을 활성화 시킨 후 아래쪽 작업 표시줄을 오른쪽 클릭하면 파일명을 확인 할 수 있습니다.
    2. 안전모드로 실행 시킨후 레지스트리 편집기를 실행시킵니다. 윈도우 키 또는 윈도우 버튼을 누른 후 '프로그램 및 파일 검색'에 'regedit'를 입력하여 실행시킵니다.
    3. 레지스트리 편집기에서 'ctrl + F'로 검색창을 띄운 후 파일명을 입력하고 의심되는 키값을 모두 삭제합니다.
    4. 제어판 - 폴더 옵션(범주 말고 아이콘으로 해야 쉽게 찾습니다)에서 보기 - 숨김 파일 및 폴더 - 모두 보기로 설정을 바꿉니다.
    5. C:ProgramData 에 바이러스 감염된 날짜에 설치 된 모든 폴더를 삭제 합니다.
    6. 재부팅... 아마도 해결이 됐을 겁니다.

    프로그램이 설치 되어 있는 폴더 명은 수시로 바뀔 것으로 생각이 됩니다.
    일단 레지스트리만 막아 놓으면 프로그램 실행이 안 되기 때문에, 재부팅 후 고급 옵션으로 검색을 하여서 찾아서 지우시면 됩니다.

    하여간 저런 강아지만도 못한 사기꾼들은 곧 천벌 받을 겁니다.

  • restart 하신후 부팅되기 시작할때 F8 여러번 눌러대면

    화면에 Safe Mode with networking 을 골라서

    인터넷에서 Malwarebytes 라는 걸 다운받아 실행하세요.

    http://www.malwarebytes.org/

    다른 안티바이러스 들은 잘 안되요.

    아니면 먼저 malwarebyte 다운하신후 restart 하시던지

  • 홍현수 2011.03.11 00:04 신고 댓글주소 수정/삭제 댓글쓰기

    벌써 세번째 감염입니다.
    위 자료 통해서 잘 지웠습니다. 그런데 왜 자꾸 계속 감염되는 걸까요ㅠㅠ
    혹시 대책 없을까요?

  • 이호현 2011.03.14 17:54 신고 댓글주소 수정/삭제 댓글쓰기

    아이콘이없는대 어떻게하죠?

  • 윤수인 2011.03.18 18:01 신고 댓글주소 수정/삭제 댓글쓰기

    간신히 삭제 햇네요

    자 바탕화면에 아이콘 안뜨는 분들 제꺼 따라하세용

    일단은 컴퓨터를 재시작 합니다

    재시작과 동시에 F8을 계속 눌러주시구요 안전모드를 선택하셔서 들어갑시다

    그곳에서 제어판누르시구요 - 폴더 옵션 누르시구요 - 숨김 파일 및 폴더 누르시구요- 모두 보기로 설정을 바꿔주세요 제글대로만 차분히 따라주세요

    그리구 내컴퓨터로 들어가주시구요 C드라이브 폴더로 들어가주시구요 이때부터가 중요하신대요

    당일바이러스 먹힌 날짜 그 당일날 깔린 프로그램이든 뭐든 찾아서 지워주시면 됩니다

    특히 숫자랑영어랑 조합된 파일을 유심히 보시면 되구요

    삭제하시고 다시 재부팅 하시면 풀려잇을껍니다