모바일 운영체제의 양대 산맥인 애플(iOS)와 구글(Android) 앱 시장에서 보안 분야에서는 서로 다른 행보를 보이고 있다.

 

애플은 백신 존재 자체를 부정하고 있으며, 구글은 오히려 경쟁을 부추기는 듯한 행태를 보이는 듯 하다.

 

최근 iOS 앱스토어에서는 개발자 가이드라인을 제공하면서 가짜 백신을 퇴치하고자 하는 모습을 보이고 있다.

 

특히, 다음과 같은 문구가 눈에 띄는데,

 

including content or services that it does not actually offer

 

실제로 제공하지 못하는 컨텐츠/서비스가 포함된 경우(완역하면)에는 앱의 등록을 거부할 수 있다는 문구이다. 이 부분이 바로 가짜 백신과 같이 없는 기능을 있다고 하면서 금전을 요구하는 가짜 소프트웨어를 막기 위한 방책으로 보인다.

 

참고로, 올해 초 애플은 가짜 안티말웨어 및 안티바이러스 앱을 대규모로 삭제한 바 있으며 관련 자료는 아래 링크를 참고한다.

 

 

고맙습니다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    지난 주말에 보안 기업인 카스퍼스키 미국 웹사이트에서 가짜 백신(Fake AV)을 배포하는 소동이 발생한 것으로 알려지고 있습니다. 약 3시간반 동안 발생했던 이 사건은 정상적인 다운로드 링크가 가짜 백신을 구입하도록 독려하는 광고 페이지로 유도되었습니다.

    웹사이트가 변조된 후에 사용자 3명이 유저 포럼에서 이 문제점을 제기했었지만 카스퍼스키는 처음에 이를 부인하였습니다.

    카스퍼스키는 문제점을 인식한 후에는 서버의 동작을 중지시키고 문제점을 해결하였으며, 추가적인 공격이 발생할 수 있는지 예의 주시하고 있다고합니다. 그리고, 고객 정보에 대한 누출은 없었다고 합니다.

    문제점의 원인은 웹 관리에 사용되는 서드파티 툴의 취약점으로 인한 것으로 알려지고 있습니다.

    출처: http://www.itpro.co.uk/627817/updated-kaspersky-hit-by-cyber-criminals
    감사합니다.


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      Sysinternals Antivirus 라는 이름을 가진 가짜 백신의 제거 방법을 소개했습니다만, 네이버 지식인 등을 검색해 본 결과 피해가 많은 것으로 보여 보다 자세히 설명합니다.

      작업을 진행하기 위해서는 먼저 a-squared HiJackFree 프로그램을 설치하여 사용해야 합니다. 설치 및 사용 방법에 대한 사항은 아래 링크를 참고하십시오.


      이 가짜 백신을 제거하기 위해서는 모두 3단계의 과정을 진행해야 합니다.

      1. 가짜 백신에 관련된 프로세스를 찾아서 죽이기
      2. 가짜 백신에 관련된 파일들 찾아서 삭제하기
      3. 가짜 백신에 관련되 레지스트리를 찾아서 삭제하기


      1. 프로세스 죽이기: 프로세스를 죽이기 위해서는 앞서 언급한 HiJackFree가 필요합니다. 설치후 실행하고나서 아래의 항목에 해당하는 프로세스는 모두 죽입니다.

      alggui.exe
      %Program Files%\svchost.exe
      dbsinit.exe
      Sysinternals Antivirus.exe
      ccsmn.exe
      ccsrr.exe


      2. 레지스트리 삭제: 레지스트리 편집기(regedit.exe)를 실행하여 아래의 항목을 찾아 모두 삭제합니다.

      HKEY_CURRENT_USER\Software\Sysinternals Antivirus
      HKEY_USERS\.DEFAULT\Software\Sysinternals Antivirus
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adbupd
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256d5-e103-4523-bb43-2cfb066839d6}
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{149256d5-e103-4523-bb43-2cfb066839d6}
      HKEY_CLASSES_ROOT\CLSID\{149256d5-e103-4523-bb43-2cfb066839d6}
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "novavapp"
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "novavappr"


      3. 파일 삭제: 탐색기를 열고 아래의 항목을 찾아 모두 삭제합니다. 파일이 숨김 속성을 지닐 수 있으므로 탐색기 옵션을 수정해 모든 파일이 보이도록 한 후에 작업을 진행합니다.

      %Program Files%\adc_w32.dll
      %Program Files%\alggui.exe
      %Program Files%\extra1.dat
      %Program Files%\extra2.dat
      %Program Files%\nuar.old
      %Program Files%\skynet.dat
      %Program Files%\svchost.exe
      %Program Files%\wp3.dat
      %Program Files%\wp4.dat
      %Program Files%\scdata
      %Program Files%\Sysinternals Antivirus
      %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn.exe
      %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151.acf
      %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151.ltd
      %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151.lti
      %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151_0.acb
      %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151_0.aci
      %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151_0.mt
      %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsrr.exe
      %UserProfile%\Application Data\Microsoft\Internet Explorer\lleod150
      %UserProfile%\Application Data\Microsoft\Internet Explorer\wmharun.log
      %UserProfile%\Application Data\Microsoft\Internet Explorer\wmrun.log
      %UserProfile%\Start Menu\Programs\Sysinternals Antivirus

      4. DLL 등록 해제: 이제 마지막으로 한가지 작업을 더 진행해야 합니다. 다른 가짜 백신과 같이 Sysinternals Antivirus는 DLL 파일을 등록하므로 등록된 사항을 해제해야 합니다.

       시작 -> 실행 -> "cmd" 를 입력하고 엔터를 누릅니다. 그리고 "cd" 명령어를 이용하여 아래 파일의 경로로 이동합니다. 그런 후에 "regsvr32 /u adc_w32.dll" 명령어를 입력합니다.

      %Program Files%\adc_w32.dll


      감사합니다.

      출처: http://freeofvirus.blogspot.com/2010/06/sysinternals-antivirus-removal-guide.html

      PS: 일부 변종에서는 특정 항목이 없을 수도 있습니다.

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        악성 프로그램 중에 특히 가짜 백신(RogueWare)를 제거할 때에는 가짜 백신이 백그라우드로 실행되거나, 서비스로 동작하는 경우가 많아 제대로 제거되지 않는 경우가 많습니다.

        따라서, 그러한 경우에는 다음과 같이 2가지 방법을 사용할 수 있습니다.
        • 안전모드로 재부팅 - 약한(!) 가짜 백신은 이것으로도 충분합니다.
        • 프로세스 삭제 전용 프로그램 이용 - 프로세스를 관리하는 프로그램을 이용하여 실행 중인 가짜 백신을 중지합니다.
        본 글에서는 프로세스에 대한 자세한 정보를 제공해 주고, 또한 프로세스를 삭제할 수 있는 프로그램 중에서 a-squared 사가 개발하여 제공하는 HiJackFree에 대해 설명합니다.

        1. 다운로드
         
           HijackFree는 아래 링크에서 다운로드할 수 있습니다.



        2. 설치
         
           HijackFree를 설치하는 방법은 일반 프로그램과 유사하므로 생략합니다.


        3. 사용 방법
         
        1) 실행- 설치가 완료되면 시작 -> a-squared HiJackFree -> a-squared HiJackFree를 클릭하여 실행합니다. 메뉴 자체는 직관적이므로 크게 어렵진 않습니다.

        (화면 #1. 왼쪽 사각형 부분이 프로세스의 이름, 오른쪽 사각형 부분이 프로세스의 실제 경로입니다)

        2) 프로세스 정보 보기: 특정한 프로세스의 정보를 보고 싶은 때에는 Name 부분에서 해당 프로세스를 마우스로 클릭하면 아래 부분에 세부 정보가 자동으로 표시됩니다.
        (화면 #2. 어베스트! 안티바이러스 제품의 실행 파일에 대한 정보가 표시됩니다.)

        3) 프로세스 죽이기: 특정한 프로세스를 죽이기 위해서는 해당 프로세스를 선택하고 마우스 오른쪽 버튼을 클릭한 후에 Kill Process 항목을 클릭합니다.

        (화면 #3. 프로세스를 선택하여 삭제합니다.)

        주의: 삭제할 때에는 Location 부분에 있는 파일의 실제 경로를 파악한 후에 진행해야 합니다.

        감사합니다.



        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          최근 가짜 백신이 대한민국 뿐만 아니라 외국에서도 활개를 치고 있습니다.

          컴퓨터 분야 중에 윈도우 서버 쪽에 관심을 가진 사람이라면 Sysinternals 라는 회사를 알고 계실 수 있습니다만,

          이 회사의 이름과 유사한 가짜 백신인 Sysinternals Antivirus이 출현하여 사용자들을 골탕먹이고 있습니다. 물론, 가짜 백신 답게 컴퓨터에 악성 코드가 있다고 속이고 치료를 위해 구매라하고 난리를 칩니다.

          하여튼, 이 가짜 백신을 제거하는 프로그램을 소개합니다. 이름하여 Sysinternals Antivirus Removal Tool 입니다.



          하지만, 제작사 홈페이지에는 위의 화면이 포함된 프로그램을 찾을 수 없습니다.

          따라서, 수동으로 제거해야 합니다..

          http://freeofvirus.blogspot.com/2010/06/sysinternals-antivirus-removal-guide.html

          감사합니다.


          PS: 다른 자료도 있습니다. 변종이 있는 듯 합니다.

          http://www.xp-vista.com/spyware-removal/remove-sysinternals-antivirus-sysinternals-antivirus-removal


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            PC Antivirus Pro는 가짜 안티스파이웨어 프로그램입니다.

            제거하는 방법은 다음과 같습니다.

            1. 안전 모드로 재부팅합니다.

            2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
            PC Antivirus Pro


            3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
            PC Antivirus Pro


            4. 재부팅합니다.

            출처: http://www.xp-vista.com/spyware-removal/remove-pc-antivirus-pro-pc-antivirus-pro-removal

            위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              Antivirus PC 2010은 AntivirusPC2010, AntivirusPC 2010 등으로 불리우는 가짜 안티스파이웨어 프로그램입니다.

              제거하는 방법은 다음과 같습니다.

              1. 안전 모드로 재부팅합니다.

              2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
              Antivirus PC 2010
              ave.exe


              3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
              %Antivirus PC 2010
              ave.exe


              4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
              HKEY_CURRENT_USER\Software\Antivirus PC 2010
              HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “Antivirus PC 2010”


              5. 재부팅합니다.

              출처: http://www.xp-vista.com/spyware-removal/remove-antivirus-pc-2010-antivirus-pc-2010-removal

              위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                Antivirus Suite는 Antivirus Soft의 변종으로 가짜 안티스파이웨어 프로그램입니다.

                제거하는 방법은 다음과 같습니다.

                1. 안전 모드로 재부팅합니다.

                2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
                avsuite.exe


                3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
                %UserProfile%\Local Settings\Application Data\[random characters]\[random characters]tssd.exe


                4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
                HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “<random>”
                HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
                HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1″
                HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyOverride” = ”
                HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyServer” = “http=127.0.0.1:5555″
                HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = “.exe”

                HKEY_CURRENT_USER\Software\avsuite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = “1″
                HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “<random>”
                HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = “no”
                HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyEnable” = “1″



                5. 재부팅합니다.

                출처: http://www.xp-vista.com/spyware-removal/remove-antivirus-suite-antivirus-suite-removal

                위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.


                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  General Antispyware는 스파이웨어를 치료해 준다는 가짜 안티스파이웨어 프로그램입니다.

                  제거하는 방법은 다음과 같습니다.

                  1. 안전 모드로 재부팅합니다.

                  2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
                  ave.exe


                  3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
                  ave.exe


                  4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
                  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “General Antispyware”


                  5. 재부팅합니다.

                  출처: http://www.xp-vista.com/spyware-removal/remove-general-antispyware-general-antispyware-removal

                  위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.


                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    Safe Doctor는 SafeDoctor 라고 불리기도 하는 가짜 백신으로, 제거하는 방법은 다음과 같습니다.

                    1. 안전 모드로 재부팅합니다.

                    2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
                    SafeDoctor.exe


                    3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
                    SafeDoctor.exe


                    4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
                    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “SafeDoctor”


                    5. 재부팅합니다.

                    출처: http://www.xp-vista.com/spyware-removal/remove-safedoctor-safedoctor-removal

                    위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.

                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory