금일 Digital Protection / Data Protection 이라는 프로그램명의 허위백신이 많이 발견되어 증상 및 조치가이드를 안내해 드립니다.
2. 감염 시 증상
해당 허위백신이 실행이 되면 아래와 같은 트레이 아이콘이 나타납니다.
이때 트레이 아이콘이나 메세지를 클릭하게 되면 아래와 같은 창이 나타납니다. 아래창은 프로그램을 설치하는 과정으로 속이기 위한 창으로 실제로는 허위백신과 관련된 파일을 특정 주소에서 다운로드 하는 과정입니다.
시간이 지나면 아래와 같이 윈도우 보안 센터와 비슷하게 꾸민 창이 나타나며 바탕화면에 성인사이트로 연결하는 아이콘이 생성되기도 합니다.
그리고 아래와 같은 허위 안티바이러스(백신) 프로그램이 실행 됩니다.
3. 조치 방법
현재 V3 제품에서 해당 허위백신을 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.
만약 수동으로 조치를 하고자 하신다면 아래와 같이 진행하시기 바랍니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip
2. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로의 파일 및 폴더를 찾아 마우스 오른클릭 후 [Force Delete]를 눌러 파일 및 폴더를 삭제 합니다.
참고 : http://core.ahnlab.com/18
(Windows XP 시스템일 경우)
C:Documents and Settings사용자 계정Local SettingsTempasrkn_pfu.exe
C:Documents and Settings사용자 계정Local SettingsTempbootvrfy.exe
C:Documents and Settings사용자 계정Local SettingsTempmscdexnt.exe
C:Documents and Settings사용자 계정Local SettingsTempdmadmin.exe
C:Documents and Settings사용자 계정Local SettingsTempkernel64xp.dll
(Windows Vista 혹은 Windows 7 시스템일 경우)
C:Users사용자 계정AppdataLocalTempasrkn_pfu.exe
C:Users사용자 계정AppdataLocalTempbootvrfy.exe
C:Users사용자 계정AppdataLocalTempmscdexnt.exe
C:Users사용자 계정AppdataLocalTempdmadmin.exe
C:Users사용자 계정AppdataLocalTempkernel64xp.dll
(이하 내용은 모든 Windows가 동일하며 해당 폴더가 없으면 무시하셔도 됩니다.)
C:Program FilesDigital protection (폴더 전체를 삭제)
C:Program FilesData protection (폴더 전체를 삭제)
C:Windowspragmavmkoismonw (폴더 전체를 삭제)
3. 시스템을 재부팅을 합니다.
Categories:악성코드 정보