지난 주말에 보안 기업인 카스퍼스키 미국 웹사이트에서 가짜 백신(Fake AV)을 배포하는 소동이 발생한 것으로 알려지고 있습니다. 약 3시간반 동안 발생했던 이 사건은 정상적인 다운로드 링크가 가짜 백신을 구입하도록 독려하는 광고 페이지로 유도되었습니다.

웹사이트가 변조된 후에 사용자 3명이 유저 포럼에서 이 문제점을 제기했었지만 카스퍼스키는 처음에 이를 부인하였습니다.

카스퍼스키는 문제점을 인식한 후에는 서버의 동작을 중지시키고 문제점을 해결하였으며, 추가적인 공격이 발생할 수 있는지 예의 주시하고 있다고합니다. 그리고, 고객 정보에 대한 누출은 없었다고 합니다.

문제점의 원인은 웹 관리에 사용되는 서드파티 툴의 취약점으로 인한 것으로 알려지고 있습니다.

출처: http://www.itpro.co.uk/627817/updated-kaspersky-hit-by-cyber-criminals
감사합니다.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    Sysinternals Antivirus 라는 이름을 가진 가짜 백신의 제거 방법을 소개했습니다만, 네이버 지식인 등을 검색해 본 결과 피해가 많은 것으로 보여 보다 자세히 설명합니다.

    작업을 진행하기 위해서는 먼저 a-squared HiJackFree 프로그램을 설치하여 사용해야 합니다. 설치 및 사용 방법에 대한 사항은 아래 링크를 참고하십시오.


    이 가짜 백신을 제거하기 위해서는 모두 3단계의 과정을 진행해야 합니다.

    1. 가짜 백신에 관련된 프로세스를 찾아서 죽이기
    2. 가짜 백신에 관련된 파일들 찾아서 삭제하기
    3. 가짜 백신에 관련되 레지스트리를 찾아서 삭제하기


    1. 프로세스 죽이기: 프로세스를 죽이기 위해서는 앞서 언급한 HiJackFree가 필요합니다. 설치후 실행하고나서 아래의 항목에 해당하는 프로세스는 모두 죽입니다.

    alggui.exe
    %Program Files%\svchost.exe
    dbsinit.exe
    Sysinternals Antivirus.exe
    ccsmn.exe
    ccsrr.exe


    2. 레지스트리 삭제: 레지스트리 편집기(regedit.exe)를 실행하여 아래의 항목을 찾아 모두 삭제합니다.

    HKEY_CURRENT_USER\Software\Sysinternals Antivirus
    HKEY_USERS\.DEFAULT\Software\Sysinternals Antivirus
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adbupd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256d5-e103-4523-bb43-2cfb066839d6}
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{149256d5-e103-4523-bb43-2cfb066839d6}
    HKEY_CLASSES_ROOT\CLSID\{149256d5-e103-4523-bb43-2cfb066839d6}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "novavapp"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "novavappr"


    3. 파일 삭제: 탐색기를 열고 아래의 항목을 찾아 모두 삭제합니다. 파일이 숨김 속성을 지닐 수 있으므로 탐색기 옵션을 수정해 모든 파일이 보이도록 한 후에 작업을 진행합니다.

    %Program Files%\adc_w32.dll
    %Program Files%\alggui.exe
    %Program Files%\extra1.dat
    %Program Files%\extra2.dat
    %Program Files%\nuar.old
    %Program Files%\skynet.dat
    %Program Files%\svchost.exe
    %Program Files%\wp3.dat
    %Program Files%\wp4.dat
    %Program Files%\scdata
    %Program Files%\Sysinternals Antivirus
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn.exe
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151.acf
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151.ltd
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151.lti
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151_0.acb
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151_0.aci
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsmn151_0.mt
    %UserProfile%\Application Data\Microsoft\Internet Explorer\ccsrr.exe
    %UserProfile%\Application Data\Microsoft\Internet Explorer\lleod150
    %UserProfile%\Application Data\Microsoft\Internet Explorer\wmharun.log
    %UserProfile%\Application Data\Microsoft\Internet Explorer\wmrun.log
    %UserProfile%\Start Menu\Programs\Sysinternals Antivirus

    4. DLL 등록 해제: 이제 마지막으로 한가지 작업을 더 진행해야 합니다. 다른 가짜 백신과 같이 Sysinternals Antivirus는 DLL 파일을 등록하므로 등록된 사항을 해제해야 합니다.

     시작 -> 실행 -> "cmd" 를 입력하고 엔터를 누릅니다. 그리고 "cd" 명령어를 이용하여 아래 파일의 경로로 이동합니다. 그런 후에 "regsvr32 /u adc_w32.dll" 명령어를 입력합니다.

    %Program Files%\adc_w32.dll


    감사합니다.

    출처: http://freeofvirus.blogspot.com/2010/06/sysinternals-antivirus-removal-guide.html

    PS: 일부 변종에서는 특정 항목이 없을 수도 있습니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      악성 프로그램 중에 특히 가짜 백신(RogueWare)를 제거할 때에는 가짜 백신이 백그라우드로 실행되거나, 서비스로 동작하는 경우가 많아 제대로 제거되지 않는 경우가 많습니다.

      따라서, 그러한 경우에는 다음과 같이 2가지 방법을 사용할 수 있습니다.
      • 안전모드로 재부팅 - 약한(!) 가짜 백신은 이것으로도 충분합니다.
      • 프로세스 삭제 전용 프로그램 이용 - 프로세스를 관리하는 프로그램을 이용하여 실행 중인 가짜 백신을 중지합니다.
      본 글에서는 프로세스에 대한 자세한 정보를 제공해 주고, 또한 프로세스를 삭제할 수 있는 프로그램 중에서 a-squared 사가 개발하여 제공하는 HiJackFree에 대해 설명합니다.

      1. 다운로드
       
         HijackFree는 아래 링크에서 다운로드할 수 있습니다.



      2. 설치
       
         HijackFree를 설치하는 방법은 일반 프로그램과 유사하므로 생략합니다.


      3. 사용 방법
       
      1) 실행- 설치가 완료되면 시작 -> a-squared HiJackFree -> a-squared HiJackFree를 클릭하여 실행합니다. 메뉴 자체는 직관적이므로 크게 어렵진 않습니다.

      (화면 #1. 왼쪽 사각형 부분이 프로세스의 이름, 오른쪽 사각형 부분이 프로세스의 실제 경로입니다)

      2) 프로세스 정보 보기: 특정한 프로세스의 정보를 보고 싶은 때에는 Name 부분에서 해당 프로세스를 마우스로 클릭하면 아래 부분에 세부 정보가 자동으로 표시됩니다.
      (화면 #2. 어베스트! 안티바이러스 제품의 실행 파일에 대한 정보가 표시됩니다.)

      3) 프로세스 죽이기: 특정한 프로세스를 죽이기 위해서는 해당 프로세스를 선택하고 마우스 오른쪽 버튼을 클릭한 후에 Kill Process 항목을 클릭합니다.

      (화면 #3. 프로세스를 선택하여 삭제합니다.)

      주의: 삭제할 때에는 Location 부분에 있는 파일의 실제 경로를 파악한 후에 진행해야 합니다.

      감사합니다.



      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        최근 가짜 백신이 대한민국 뿐만 아니라 외국에서도 활개를 치고 있습니다.

        컴퓨터 분야 중에 윈도우 서버 쪽에 관심을 가진 사람이라면 Sysinternals 라는 회사를 알고 계실 수 있습니다만,

        이 회사의 이름과 유사한 가짜 백신인 Sysinternals Antivirus이 출현하여 사용자들을 골탕먹이고 있습니다. 물론, 가짜 백신 답게 컴퓨터에 악성 코드가 있다고 속이고 치료를 위해 구매라하고 난리를 칩니다.

        하여튼, 이 가짜 백신을 제거하는 프로그램을 소개합니다. 이름하여 Sysinternals Antivirus Removal Tool 입니다.



        하지만, 제작사 홈페이지에는 위의 화면이 포함된 프로그램을 찾을 수 없습니다.

        따라서, 수동으로 제거해야 합니다..

        http://freeofvirus.blogspot.com/2010/06/sysinternals-antivirus-removal-guide.html

        감사합니다.


        PS: 다른 자료도 있습니다. 변종이 있는 듯 합니다.

        http://www.xp-vista.com/spyware-removal/remove-sysinternals-antivirus-sysinternals-antivirus-removal


        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          Antivirus PC 2010은 AntivirusPC2010, AntivirusPC 2010 등으로 불리우는 가짜 안티스파이웨어 프로그램입니다.

          제거하는 방법은 다음과 같습니다.

          1. 안전 모드로 재부팅합니다.

          2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
          Antivirus PC 2010
          ave.exe


          3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
          %Antivirus PC 2010
          ave.exe


          4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
          HKEY_CURRENT_USER\Software\Antivirus PC 2010
          HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “Antivirus PC 2010”


          5. 재부팅합니다.

          출처: http://www.xp-vista.com/spyware-removal/remove-antivirus-pc-2010-antivirus-pc-2010-removal

          위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            Antivirus Suite는 Antivirus Soft의 변종으로 가짜 안티스파이웨어 프로그램입니다.

            제거하는 방법은 다음과 같습니다.

            1. 안전 모드로 재부팅합니다.

            2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
            avsuite.exe


            3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
            %UserProfile%\Local Settings\Application Data\[random characters]\[random characters]tssd.exe


            4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
            HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “<random>”
            HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
            HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1″
            HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyOverride” = ”
            HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyServer” = “http=127.0.0.1:5555″
            HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = “.exe”

            HKEY_CURRENT_USER\Software\avsuite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = “1″
            HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “<random>”
            HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = “no”
            HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyEnable” = “1″



            5. 재부팅합니다.

            출처: http://www.xp-vista.com/spyware-removal/remove-antivirus-suite-antivirus-suite-removal

            위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.


            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              General Antispyware는 스파이웨어를 치료해 준다는 가짜 안티스파이웨어 프로그램입니다.

              제거하는 방법은 다음과 같습니다.

              1. 안전 모드로 재부팅합니다.

              2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
              ave.exe


              3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
              ave.exe


              4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
              HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “General Antispyware”


              5. 재부팅합니다.

              출처: http://www.xp-vista.com/spyware-removal/remove-general-antispyware-general-antispyware-removal

              위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.


              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                Safe Doctor는 SafeDoctor 라고 불리기도 하는 가짜 백신으로, 제거하는 방법은 다음과 같습니다.

                1. 안전 모드로 재부팅합니다.

                2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
                SafeDoctor.exe


                3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
                SafeDoctor.exe


                4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
                HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “SafeDoctor”


                5. 재부팅합니다.

                출처: http://www.xp-vista.com/spyware-removal/remove-safedoctor-safedoctor-removal

                위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  Antivirus Suite는 Antivirus Soft와 유사한 가짜 백신입니다.

                  제거하는 방법은 다음과 같습니다.

                  1. 안전 모드로 재부팅합니다.

                  2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
                  uavsuite.exe


                  3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
                  avsuite.exe


                  4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
                  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “<random>”
                  HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
                  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1″
                  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyOverride” = ”
                  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyServer” = “http=127.0.0.1:5555″
                  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = “.exe”

                  HKEY_CURRENT_USER\Software\avsuite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = “1″
                  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “<random>”
                  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = “no”
                  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyEnable” = “1″



                  5. 재부팅합니다.

                  출처: http://www.xp-vista.com/spyware-removal/remove-antivirus-suite-antivirus-suite-removal

                  위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.


                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    PC Bug Finder Pro는 PC Bug Finder Pro 2010, PC Bug Remover Pro와 유사한 가짜백신입니다.


                    제거하는 방법은 다음과 같습니다.

                    1. 안전 모드로 재부팅합니다.

                    2. 작업관리자(Ctrl-Alt-Del)를 실행하여, 아래 프로세스를 찾아 종료합니다.
                    unvise32.exe
                    PCBugFinderPro.exe


                    3. 탐색기를 열고, 아래에 표시된 모든 폴더 및 파일을 제거합니다.(만약 설치 경로가 C: 인경도 있으므로 주의해야 합니다)
                    %WINDOWS%\unvise32.exe
                    %WINDOWS%\System32\COMDLG32.OCX
                    %WINDOWS%\System32\mscomctl.ocx
                    %WINDOWS%\System32\msvbvm60.dll
                    %Documents and Settings%\All Users\Start Menu\Programs\PC Bug Finder Pro v1.0\
                    %Documents and Settings%\All Users\Start Menu\Programs\PC Bug Finder Pro v1.0\Remove PC Bug Finder Pro v1.0.lnk
                    %Documents and Settings%\All Users\Start Menu\Programs\PC Bug Finder Pro v1.0\PC Bug Finder Pro v1.0.lnk
                    %Documents and Settings%\[UserName]\Desktop\PC Bug Finder Pro v1.0.lnk
                    %Program Files%\PCBugFinderPro\
                    %Program Files%\PCBugFinderPro\uninstal.log
                    %Program Files%\PCBugFinderPro\PCBugFinderPro.exe


                    4. 레지스트리 편집기(regedit.exe)를 실행하고 아래에 표시된 모든 레지스트리 키 및 값을 제거합니다.
                    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PC Bug Finder Pro v1.0
                    HKEY_LOCAL_MACHINE\SOFTWARE\PC Bug Finder Pro v1.0
                    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results
                    HKEY_CLASSES_ROOT\Interface\{F08DF953-8592-11D1-B16A-00C0F0283628}\
                    HKEY_CLASSES_ROOT\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\Implemented Categories


                    5. 재부팅합니다.

                    출처: http://www.xp-vista.com/spyware-removal/remove-pc-bug-finder-pro-pcbugfinderproexe-pc-bug-finder-pro-pcbugfinderproexe-removal

                    위 에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.


                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory