저자: Grinler

출처: http://www.bleepingcomputer.com/virus-removal/remove-antivirus-soft

 

  1. 소개

    Antivirus Soft는 Antivirus Live라고 불리우는 가짜 백신 중의 하나입니다. 가짜 백신은 보통 사용자의 허락없이 또는 사용자가 알지 못하는 사이에 프로그램을 설치하여 감염됩니다. Antivirus Soft는 아크로뱃 리더의 예전 버전에서 발견되는 PDF 취약점을 이용하여 컴퓨터에 감염시킵니다. 설치가 완료되면, Antivirus Soft는 컴퓨터가 시작할 때마다 항상 실행되도록 '시작 프로그램' 목록에 추가합니다. 처음 실행될 때에는 컴퓨터에 악성 프로그램이 있는지 검사하고 엄청난 수의 감염된 파일을 보여줍니다. 하지만, 감염된 파일을 치료하기 위해서는 제품을 구매해야 합니다. 실제로 감염된 파일은 모두 가짜이며 컴퓨터에는 이러한 파일 자체가 없습니다.

     

    또한, 정상적인 안티바이러스 프로그램이 Antivirus Soft를 제거할 수 없도록 자체적인 보호 수단을 가지고 있습니다. Antivirus Soft 프로세스가 실행 중일 때에는 감염되었다는 가짜 메시지를 보여주면서 다른 실행 중인 모든 프로그램을 닫게 만듭니다. 또한, Antivirus Soft는 인터넷 익스플로러의 프록시 설정을 변경합니다. 프록시 설정을 변경함으로써 Antivirus Soft 구매 사이트 이외의 다른 사이트의 접근을 방해합니다. 이런 방법으로 Antivirus Soft를 제거하는 방법이나 정상적인 안티바이러스 제품을 인터넷에서 다운로드하지 못하게 방해합니다. 이 두 가지 방법을 통해 Antivirus Soft 프로그램은 사용자가 컴퓨터를 사용할 때에 겁을 주거나 귀찮게 함으로써 구매를 유도합니다.

    <그림 #1. Antivirus Soft 실행 화면.

  2. 세부 정보

    Antivirus Soft가 실행 중일 때에는 사용자의 컴퓨터에 보안 상 치명적인 문제점이 있다고 인식하도록 다양한 보안 경고 메시지를 보여주게 됩니다. 예를 들면, 윈도우 보안 센터를 베낀 가짜 화면을 보여 주고 보안을 유지하기 위해서는 제품을 구매하게 유도합니다. 또한, 컴퓨터가 감염되었다는 가짜 메시지를 보여 주게 되며 아래와 같이 악성 프로그램이 감염되었다고 알려주기도 합니다.

     

Antivirus Software Alert
Infiltration Alert
Your computer is being attacked by an internet virus. It could be a password-stealing attack, a trojan-dropper or similar.
Threat: Win32/Nuqel.E

 

    Antivirus Soft를 위협 요소에 따라 구분하면 다음에 해당합니다.

 

  • RansomWare(사용자가 컴퓨터를 사용할 때에 팝업창을 보여 주는 것과 같이 귀찮게 하는 악성프로그램의 일종)
  • Rogue(정상적인 기능을 하는 프로그램으로 보이지만 실제로는 아무런 기능을 수행하지 않는 가짜 프로그램)

 

Antivirus Soft의 구성요소는 다음과 같습니다.

 

설치되는 파일 정보

Windows XP:

%UserProfile%\Local Settings\Application Data\<random>\
%UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
%UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe


Windows Vista and Windows 7:

%UserProfile%\AppData\Local\<random>\
%UserProfile%\AppData\Local\<random>\<random>sysguard.exe
%UserProfile%\AppData\Local\<random>\<random>sftav.exe

등록하는 레지스트리 정보

Windows XP:

O4 - HKLM\..\Run: [<random>] %UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
O4 - HKLM\..\Run: [<random>] %UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe


Windows Vista and Windows 7:

O4 - HKCU\..\Run: [ucmnrejs] %UserProfile%\AppData\Local\<random>\<random>sysguard.exe
O4 - HKCU\..\Run: [ucmnrejs] %UserProfile%\AppData\Local\<random>\<random>sftav.exe

 

알림: 파일 및 레지스트리 정보는 HijackThis 프로그램의 로그를 이용하여 분석한 결과입니다.

 

  1. 치료 방법

    컴퓨터에 대한 충분한 지식이 있는 사용자는 위에서 언급한 파일 및 레지스트리 정보를 참조하여 직접 제거할 수도 있습니다만, 일반 사용자들에게는 다소 어려운 작업일 수 있습니다.

     

    Antivirus Soft를 제거하기 위해서는 다음과 같이 3가지 사항을 반드시 명심해야 합니다.

  • 치료할 때에는 안전 모드로 부팅하여 진행해야 합니다.
  • 인터넷 옵션의 프록시 설정을 변경해야 합니다.
  • 치료에 필요한 프로그램을 미리 준비합니다.

 

  1. 보다 원활한 치료를 위해 본 문서를 출력하거나, 노트북과 같이 다른 수단을 준비합니다.

     

     

  2. MalwareBytes' Anti-Malware(MBAM) 프로그램을 다운로드하여 바탕화면에 저장합니다. 감염된 컴퓨터에서 다운로드할 수 없는 경우에는 다른 컴퓨터에서 다운로드하여 USB 메모리 등으로 복사해 넣습니다. (프로그램은 무료 버전과 유료 버전이 있습니다. 유료 버전은 30일 평가판으로 사용할 수 있으므로 유료 버전을 다운로드합니다)

 

http://www.malwarebytes.org/mbam.php

 

 

  1. 프로세스를 삭제하는 프로그램인 rkill을 다운로드하여 바탕화면에 저장합니다. 감염된 컴퓨터에서 다운로드할 수 없는 경우에는 다른 컴퓨터에서 다운로드하여 USB 메모리 등으로 복사해 넣습니다.

 

http://download.bleepingcomputer.com/grinler/rkill.com

 

 

  1. 이제 컴퓨터를 안전 모드로 재부팅합니다.

    안전모드로 재부팅하려면 컴퓨터가 시작할 때에 F8 키를 천천히 눌러 주거나, SHIFT 키를 꾹 누룹니다.

 

 

  1. 프록시 설정을 변경합니다.

    시작 -> 설정 -> 제어판 -> 인터넷 옵션을 실행합니다. 연결 탭에서 LAN 설정 버튼을 클릭합니다. 프록시 서버의 체크 버튼을 해제합니다. 그리고 확인 버튼을 눌러 창을 모두 닫습니다.

     

     

  2. 실행 중인 모든 창(프로그램)을 닫습니다. 그리고, rkill 프로그램을 실행합니다. 이 프로그램은 현재 실행 중인 모든 프로그램을 닫고, 이에 대한 사항을 로그로 보여줍니다.(만약 Antivirus Soft가 감염된 프로그램이라고 경고하더라도 무시하고 실행합니다. 그런 후에 다시 한번 실행하여 완벽하게 프로그램을 닫습니다. 재부팅해서는 안됍니다.)

 

 

  1. 다운로드한 MBAM(mbam-setup.exe)를 설치합니다.

    설치하는 중에는 아래의 부분만 변경하고 나머지는 기본값 그대로 진행합니다.

  • Update Malwarebytes' Anti-Malware 체크.
  • Launch Malwarebytes' Anti-Malware 체크.

만약 설치 마지막 단계에서 재부팅이 필요하다고 대화창이 나타나더라도 재부팅해서는 안됍니다. 설치가 완료되면 MBAM이 실행되며, 자동으로 업데이트할지 묻는 대화상자가 나타는 경우에는 확인 버튼을 클릭합니다.

 

 

  1. Scanner 탭에서 Perform full scan 옵션을 선택하고 Scan 버튼을 클릭합니다. 그러면, 컴퓨터에 설치되어 있는 악성 프로그램을 검사하게 됩니다. 검사하는 시간이 오래 걸릴 수도 있습니다.

 

 

  1. 검사가 완료되면 아래와 같이 대화상자를 보여 줍니다. 확인 버튼을 클릭합니다.

     

     

  2. Scanner 탭에서 Show Results 버튼을 클릭합니다. 그러면 아래와 같이 Antivirus Soft에 관련된 감염된 파일을 볼 수 있습니다. 아래 화면에서 일부 항목은 앞에서 언급했던 파일 이름(경로), 레지스트리 정보와 다를 수도 있습니다.

 

 

  1. 감염된 모든 파일을 제거하기 위해 Remote Selected 버튼을 클릭합니다. 이제 MBAM은 해당 파일과 레지스트리 정보를 모두 제거하고, 격리보관소로 옮깁니다. 만약, 제거하는 과정 중에 재부팅이 필요하다고 대화창에서 표시하는 경우에는 재부팅을 하며, 이러한 경우에는 MBAM 프로그램을 실행하여 8) 단계부터 다시 진행합니다.

 

 

  1. 모두 완료된 후에는 메모장에 로그 기록을 보여줍니다. 해당 내역을 파일로 저장하여 둡니다. MBAM 프로그램을 종료하고 재부팅합니다.

 

 

주의: 악성 프로그램은 계속 변종이 나타날 있으므로, 위에 언급한 사항이 100% 정확하지 않을 있으므로, 중요한 정보는 미리 백업하시기 바랍니다.

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    어제는 체크포인트 사에서 하룻동안 무료로 존알람 프로를 다운로드할 수 있었다는 아쉬운 기사를 올려 드린 적이 있었는데 하나의 좋은 보물이 숨어 있었습니다.

    홈 페이지 클릭

    여기에서 오른쪽의 이름과 메일 주소를 입력하면 안티 스파이웨어 제품을 무료로 사용할 수 있는 라이선스와 다운로드 링크를 이메일로 보내 줍니다.
    사용자 삽입 이미지

    아직 안티 스파이웨어 제품을 고민하시는 분 다운로드하여 즐거운 정품 혜택을 함께 누려 보시지요~

    주의사항으로는 메일의 내용을 보면 다운로드 링크의 유효기간이 있으니, 다운받아서 따로 잘 보관해 놓으세요. 그리고, 제품이 영어로 되어 있습니다. T.T...
    Daum 블로거뉴스
    블로거뉴스에서 이 포스트를 추천해주세요.
    추천하기
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      수퍼 안티 스파이웨어

      #1. 소개 및 설치

      #2. 검사 및 관리

      #3. 설정

      아무리 좋은 보안 제품이라 하더라도 설정을 제대로 해주지 않는다면 정확한 보안이 유지될 수 없습니다. 수퍼안티스파이웨어 제품은 다양한 보안 설정 기능을 제공하기 때문에 보다 정확한 이해가 필요한 제품입니다.

      수퍼안티스파이웨어 메인 메뉴에서 Preferences 버튼을 누르면 환경 설정에 대한 화면이 나타납니다.

      각 탭을 간단히 설명하면 다음과 같습니다.
      • General and Startup - 시작 옵션과 자동 업데이트 설정
      • Scanning Control - 검사 옵션 설정, 신뢰 항목 설정, 검사 제외 폴더 설정
      • Real-Time Protection - 실시간 검사 기능을 사용할지 설정
      • Hi-Jack Protection - 인터넷 브라우저의 홈페이지, 검색 페이지를 보호
      • Statistics/Logs - 로그 및 통계 보기
      • Repairs - 악성 코드들이 변경하거나 손상시킨 다양한 시스템 설정들을 원상태로 되돌려 주는 유용한 기능

      2. Scanning Control
      사용자 삽입 이미지

      a) Scanning Options - 검사할 때 설정하는 옵션입니다.
      • Ignore files larger than 4MB(recommended) - 4MB 보다 큰 파일은 검사하지 않습니다. 큰 파일을 검사하지 않아 검사 속도가 향상됩니다.
      • Ignore non-executables files(recommended) - 실행 파일 이외에는 검사하지 않습니다. 속도가 향상됩니다.
      • Ignore System Restore/Volume Information on ME/XP - 윈도우 ME/XP에서 시스템 복구 영역과 볼륨 정보 영역을 검사하지 않습니다. 일부 악성코드는 이러한 영역에 파일을 저장하므로 가급적 옵션을 체크하지 않는 것이 좋습니다.
      • Scan only known file type(.exe, .com, .dll, etc.) - 실행파일로 알려져 있는 파일들을 검사합니다.
      • Close browsers before scanning - 인터넷 브라우저에 관련된 악성코드를 안전하게 검사하기 위해 검사하기 전에 브라우저를 닫습니다.
      • Scan for tracking cookies - 쿠키를 검사합니다.
      • Resolve Links/Shortcuts during scan(.lnk) - 바로가기 및 링크를 검사합니다.
      • Terminate memory threats before quarantining - 감염된 파일을 격리 보관하기 전에 메모리에 남아 있는 경우 종료합니다.
      • Scan alternate Data Steams - ADS를 검사합니다.
      • Use Kernel Direct File Access(recommended) - KDFA를 사용합니다.
      • Use Kernel Direct Registry Access(recommended) - KDRA를 사용합니다.
      • Display scan option in Explorer context(right-click) menu - 탐색기에서 마우스 오른쪽 버튼을 통해 검사합니다.
      b) Allowed/Trusted Items - 신뢰하거나 오진하는 항목을 허용합니다.

      c) Excluded Folders - 검사하지 않은 폴더를 추가합니다. 동영상, MP3, 사진과 같이 악성코드가 감염될 가능성이 적은 폴더는 비검사 영역에 추가하여 검사 속도를 향상시킬 수 있습니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        수퍼 안티 스파이웨어

        #1. 소개 및 설치

        #2. 검사 및 관리

        #3. 설정

        아무리 좋은 보안 제품이라 하더라도 설정을 제대로 해주지 않는다면 정확한 보안이 유지될 수 없습니다. 수퍼안티스파이웨어 제품은 다양한 보안 설정 기능을 제공하기 때문에 보다 정확한 이해가 필요한 제품입니다.

        수퍼안티스파이웨어 메인 메뉴에서 Preferences 버튼을 누르면 환경 설정에 대한 화면이 나타납니다.

        각 탭을 간단히 설명하면 다음과 같습니다.
        • General and Startup - 시작 옵션과 자동 업데이트 설정
        • Scanning Control - 검사 옵션 설정, 신뢰 항목 설정, 검사 제외 폴더 설정
        • Real-Time Protection - 실시간 검사 기능을 사용할지 설정
        • Hi-Jack Protection - 인터넷 브라우저의 홈페이지, 검색 페이지를 보호
        • Statistics/Logs - 로그 및 통계 보기
        • Repairs - 악성 코드들이 변경하거나 손상시킨 다양한 시스템 설정들을 원상태로 되돌려 주는 유용한 기능

        1. General and Startup
        사용자 삽입 이미지


        a) Start-up Options - 수퍼안티스파이웨어를 언제 실행할지 설정합니다.
        • Start SUPERAntiSpyware when Windows starts - 컴퓨터가 시작될 때에 수퍼안티스파이웨어를 실행.
        • show SUPERAntiSpyware icon in system tray - 바탕화면 하단의 시스템 트레이에 수퍼안티스파이웨어가 실행 중인 경우 아이콘을 보여 줌.
        • show splash screen on startup - 수퍼안티스파이웨어 프로그램 실행시에 배너 화면을 보여 줌.
        • Use Windows XP style menus - XP 스타일의 인터페이스 사용.

        b) Automatic Updates - 자동 업데이트를 지정합니다. 무료인 홈 버전에서는 지원하지 않습니다.
        • Automatically check for program and definition updates every 8 hours(recommended) - 매 8시간마다 프로그램 및 데이터베이스 업데이트가 있는지 자동으로 확인.
        • Check for program updates when the application starts(recommended) - 수퍼스파이웨어 프로그램 실행시에 프로그램 업데이트를 확인
        • Check for Update Now - 최신 업데이트가 있는지 지금 확인

        c) Start-Up Scanning - 수퍼스파이웨어 프로그램 실행시 컴퓨터에서 검사할 부분을 지정
        • Do not scan when SUPERAntiSpyware starts - 프로그램 실행시 검사 안함
        • Start a Quick Scan - 빠른 검사 실행
        • Start a Complete System Scan - 모든 검사 실행
        • Start a Custom Scan - 사용자가 지정한 대로 검사 실행
        • Check for updates before scanning on startup - 검사 전에 업데이트가 있는지 확인

        d) Reset Program Options To Default Settings - 변경한 설정 사항을 프로그램의 기본값을 초기화합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          요즘 악성코드(스파이웨어)를 잡아 주는 프로그램이 인터넷 상에서 많이 찾아 볼 수 있습니다. 외국도 그렇겠지만, 특히 우리나라에서는 악성코드를 잡아 준다고 하며 거짓으로 진단 결과를 보여 주거나, 경쟁 제품을 악성코드로 분류하여 삭제하기도 하고, 검사는 무료로 해주지만 실제 치료는 돈을 내야 하는 경우도 많습니다.

          돈을 한번 내더라도 그 다음번에 다시 치료할 때는 다시 더 내야 하거나, 또는 매달 자동 결제가 이루어지게 하여 부당하게 요금을 뺏어 가는 부도덕성을 보이기도 합니다.

          이럴 때 일수록 어떤 제품이 정말 사용자를 위해 제공되는지 한번 더 고민해 보고 사용해야 할 것으로 생각됩니다.

          사용자 삽입 이미지

          지금 소개하는 SUPERAntiSpyware는 외국에서 개발하여 제공되는 악성코드 치료 프로그램입니다. 개인용은 무료로 제공되고 전문가용은 유료로 제공됩니다. 따라서, 개인은 그리 큰 기능상의 차이점 없이 충분히 사용이 가능한 제품입니다.

          특히 이 제품은 무료이지만 윈도우 비스타를 지원하는 등 충분한 버전업 능력을 가지고 있습니다. 수퍼안티스파이웨어의 주요 특징은 다음과 같습니다.
          • 빠른 검사 속도, 사용자가 검사할 영역을 지정할 수 있음
          • 스파이웨어, 애드웨어, 악성 프로그램,전화접속 유도 프로그램, 웜, 키 로커, 하이재커, 패러사이트, 루트킷 등 다양한 위협을 진단 및 치료
          • 시스템 자원의 사용량이 적음
          • 악성 프로그램으로 인해 인터넷 연결에 관련된 설정사항이 손상될 경우 복구
          • 실시간 감시 및 차단
          • 예약 기능 제공
          • 전문적인 연구 팀 활동

          하지만, 위의 기능들은 대부분 유료 제품인 프로페셔널에서 동작합니다. 무료 버전이 홈 버전에서는 기본적인 검사 및 치료 기능만을 제공합니다. 또한, 데이터베이스 업데이트도 자동이 아닌 수동이라는 점을 주의해야 합니다.

          설치 과정은 아주 평이합니다. 아래 링크에서 홈 버전을 다운로드하여 실행하면 설치가 진행됩니다.

          다운로드 링크: http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWAREFREE

          설치가 완료되면 최신 업데이트가 있는지 확인하여 업데이트할 지를 묻습니다. 가급적 예를 클릭하여 최신 데이터베이스로 업그레이드하는 것이 좋습니다.

          아래 화면은 수퍼스파이웨어 프로그램이 실행된 상태를 보여 줍니다.
          사용자 삽입 이미지

          • Scan your Computer - 검사
          • Scheduled Scanning - 예약 검사
          • Check for Updates - 업데이트 확인
          • Manage Quarantine - 검역소 관리
          • Preferences - 설정
          다음 글에서는 위의 메뉴에 대해 간략하게 살펴 보고 특히, Preferences에 대해 중점적으로 소개할 예정이니 기대하기 바랍니다.

          끝.



          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus


            Web Analytics Blogs Directory