저자: Grinler

출처: http://www.bleepingcomputer.com/virus-removal/remove-antivirus-soft

 

  1. 소개

    Antivirus Soft는 Antivirus Live라고 불리우는 가짜 백신 중의 하나입니다. 가짜 백신은 보통 사용자의 허락없이 또는 사용자가 알지 못하는 사이에 프로그램을 설치하여 감염됩니다. Antivirus Soft는 아크로뱃 리더의 예전 버전에서 발견되는 PDF 취약점을 이용하여 컴퓨터에 감염시킵니다. 설치가 완료되면, Antivirus Soft는 컴퓨터가 시작할 때마다 항상 실행되도록 '시작 프로그램' 목록에 추가합니다. 처음 실행될 때에는 컴퓨터에 악성 프로그램이 있는지 검사하고 엄청난 수의 감염된 파일을 보여줍니다. 하지만, 감염된 파일을 치료하기 위해서는 제품을 구매해야 합니다. 실제로 감염된 파일은 모두 가짜이며 컴퓨터에는 이러한 파일 자체가 없습니다.

     

    또한, 정상적인 안티바이러스 프로그램이 Antivirus Soft를 제거할 수 없도록 자체적인 보호 수단을 가지고 있습니다. Antivirus Soft 프로세스가 실행 중일 때에는 감염되었다는 가짜 메시지를 보여주면서 다른 실행 중인 모든 프로그램을 닫게 만듭니다. 또한, Antivirus Soft는 인터넷 익스플로러의 프록시 설정을 변경합니다. 프록시 설정을 변경함으로써 Antivirus Soft 구매 사이트 이외의 다른 사이트의 접근을 방해합니다. 이런 방법으로 Antivirus Soft를 제거하는 방법이나 정상적인 안티바이러스 제품을 인터넷에서 다운로드하지 못하게 방해합니다. 이 두 가지 방법을 통해 Antivirus Soft 프로그램은 사용자가 컴퓨터를 사용할 때에 겁을 주거나 귀찮게 함으로써 구매를 유도합니다.

    <그림 #1. Antivirus Soft 실행 화면.

  2. 세부 정보

    Antivirus Soft가 실행 중일 때에는 사용자의 컴퓨터에 보안 상 치명적인 문제점이 있다고 인식하도록 다양한 보안 경고 메시지를 보여주게 됩니다. 예를 들면, 윈도우 보안 센터를 베낀 가짜 화면을 보여 주고 보안을 유지하기 위해서는 제품을 구매하게 유도합니다. 또한, 컴퓨터가 감염되었다는 가짜 메시지를 보여 주게 되며 아래와 같이 악성 프로그램이 감염되었다고 알려주기도 합니다.

     

Antivirus Software Alert
Infiltration Alert
Your computer is being attacked by an internet virus. It could be a password-stealing attack, a trojan-dropper or similar.
Threat: Win32/Nuqel.E

 

    Antivirus Soft를 위협 요소에 따라 구분하면 다음에 해당합니다.

 

  • RansomWare(사용자가 컴퓨터를 사용할 때에 팝업창을 보여 주는 것과 같이 귀찮게 하는 악성프로그램의 일종)
  • Rogue(정상적인 기능을 하는 프로그램으로 보이지만 실제로는 아무런 기능을 수행하지 않는 가짜 프로그램)

 

Antivirus Soft의 구성요소는 다음과 같습니다.

 

설치되는 파일 정보

Windows XP:

%UserProfile%\Local Settings\Application Data\<random>\
%UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
%UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe


Windows Vista and Windows 7:

%UserProfile%\AppData\Local\<random>\
%UserProfile%\AppData\Local\<random>\<random>sysguard.exe
%UserProfile%\AppData\Local\<random>\<random>sftav.exe

등록하는 레지스트리 정보

Windows XP:

O4 - HKLM\..\Run: [<random>] %UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
O4 - HKLM\..\Run: [<random>] %UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe


Windows Vista and Windows 7:

O4 - HKCU\..\Run: [ucmnrejs] %UserProfile%\AppData\Local\<random>\<random>sysguard.exe
O4 - HKCU\..\Run: [ucmnrejs] %UserProfile%\AppData\Local\<random>\<random>sftav.exe

 

알림: 파일 및 레지스트리 정보는 HijackThis 프로그램의 로그를 이용하여 분석한 결과입니다.

 

  1. 치료 방법

    컴퓨터에 대한 충분한 지식이 있는 사용자는 위에서 언급한 파일 및 레지스트리 정보를 참조하여 직접 제거할 수도 있습니다만, 일반 사용자들에게는 다소 어려운 작업일 수 있습니다.

     

    Antivirus Soft를 제거하기 위해서는 다음과 같이 3가지 사항을 반드시 명심해야 합니다.

  • 치료할 때에는 안전 모드로 부팅하여 진행해야 합니다.
  • 인터넷 옵션의 프록시 설정을 변경해야 합니다.
  • 치료에 필요한 프로그램을 미리 준비합니다.

 

  1. 보다 원활한 치료를 위해 본 문서를 출력하거나, 노트북과 같이 다른 수단을 준비합니다.

     

     

  2. MalwareBytes' Anti-Malware(MBAM) 프로그램을 다운로드하여 바탕화면에 저장합니다. 감염된 컴퓨터에서 다운로드할 수 없는 경우에는 다른 컴퓨터에서 다운로드하여 USB 메모리 등으로 복사해 넣습니다. (프로그램은 무료 버전과 유료 버전이 있습니다. 유료 버전은 30일 평가판으로 사용할 수 있으므로 유료 버전을 다운로드합니다)

 

http://www.malwarebytes.org/mbam.php

 

 

  1. 프로세스를 삭제하는 프로그램인 rkill을 다운로드하여 바탕화면에 저장합니다. 감염된 컴퓨터에서 다운로드할 수 없는 경우에는 다른 컴퓨터에서 다운로드하여 USB 메모리 등으로 복사해 넣습니다.

 

http://download.bleepingcomputer.com/grinler/rkill.com

 

 

  1. 이제 컴퓨터를 안전 모드로 재부팅합니다.

    안전모드로 재부팅하려면 컴퓨터가 시작할 때에 F8 키를 천천히 눌러 주거나, SHIFT 키를 꾹 누룹니다.

 

 

  1. 프록시 설정을 변경합니다.

    시작 -> 설정 -> 제어판 -> 인터넷 옵션을 실행합니다. 연결 탭에서 LAN 설정 버튼을 클릭합니다. 프록시 서버의 체크 버튼을 해제합니다. 그리고 확인 버튼을 눌러 창을 모두 닫습니다.

     

     

  2. 실행 중인 모든 창(프로그램)을 닫습니다. 그리고, rkill 프로그램을 실행합니다. 이 프로그램은 현재 실행 중인 모든 프로그램을 닫고, 이에 대한 사항을 로그로 보여줍니다.(만약 Antivirus Soft가 감염된 프로그램이라고 경고하더라도 무시하고 실행합니다. 그런 후에 다시 한번 실행하여 완벽하게 프로그램을 닫습니다. 재부팅해서는 안됍니다.)

 

 

  1. 다운로드한 MBAM(mbam-setup.exe)를 설치합니다.

    설치하는 중에는 아래의 부분만 변경하고 나머지는 기본값 그대로 진행합니다.

  • Update Malwarebytes' Anti-Malware 체크.
  • Launch Malwarebytes' Anti-Malware 체크.

만약 설치 마지막 단계에서 재부팅이 필요하다고 대화창이 나타나더라도 재부팅해서는 안됍니다. 설치가 완료되면 MBAM이 실행되며, 자동으로 업데이트할지 묻는 대화상자가 나타는 경우에는 확인 버튼을 클릭합니다.

 

 

  1. Scanner 탭에서 Perform full scan 옵션을 선택하고 Scan 버튼을 클릭합니다. 그러면, 컴퓨터에 설치되어 있는 악성 프로그램을 검사하게 됩니다. 검사하는 시간이 오래 걸릴 수도 있습니다.

 

 

  1. 검사가 완료되면 아래와 같이 대화상자를 보여 줍니다. 확인 버튼을 클릭합니다.

     

     

  2. Scanner 탭에서 Show Results 버튼을 클릭합니다. 그러면 아래와 같이 Antivirus Soft에 관련된 감염된 파일을 볼 수 있습니다. 아래 화면에서 일부 항목은 앞에서 언급했던 파일 이름(경로), 레지스트리 정보와 다를 수도 있습니다.

 

 

  1. 감염된 모든 파일을 제거하기 위해 Remote Selected 버튼을 클릭합니다. 이제 MBAM은 해당 파일과 레지스트리 정보를 모두 제거하고, 격리보관소로 옮깁니다. 만약, 제거하는 과정 중에 재부팅이 필요하다고 대화창에서 표시하는 경우에는 재부팅을 하며, 이러한 경우에는 MBAM 프로그램을 실행하여 8) 단계부터 다시 진행합니다.

 

 

  1. 모두 완료된 후에는 메모장에 로그 기록을 보여줍니다. 해당 내역을 파일로 저장하여 둡니다. MBAM 프로그램을 종료하고 재부팅합니다.

 

 

주의: 악성 프로그램은 계속 변종이 나타날 있으므로, 위에 언급한 사항이 100% 정확하지 않을 있으므로, 중요한 정보는 미리 백업하시기 바랍니다.

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    <주: 이 글은 국내에 대해 언급하면 글이 폐쇄(!)될 수 있으므로, 국외에 대한 내용으로 한정합니다>

    가짜 소프트웨어(RogueWare)는 소프트웨어가 제공하는 기능이 올바르지 않거나, 사용자를 속이는 프로그램을 말합니다.

    현재까지 알려지 가짜 소프트웨어는 대략 200 여가지나 이르며, 가장 대표적인 가짜 소프트웨어는 가짜 백신(Rogue Anti-virus)입니다.

    가짜 백신(Roge Antivirus)은 사용자의 컴퓨터에 있지도 않은 바이러스나 웜 같은 위험 요소가 있다고 속여서 이를 치료하기 위해 돈을 요구하는, 질이 아주 나쁜 프로그램입니다.

    또한, 가짜 백신은 제거하기가 까다롭게 구성되어 있으며, 심지어 어떤 프로그램은 정상적인 과정으로 삭제할 수 없어 특수한 프로그램을 이용하거나 최악에는 컴퓨터를 밀고(!) 새로 설치해야 하는 경우도 있습니다.

    가짜 백신은 주로 인터넷 광고나 프로그램을 설치하는 도중에 애드온(addon)으로 설치되는 경우가 많습니다.

    PandaLabs에서 발간한 프로그램(RogueWare)에 대한 보고서를 살펴 보면, 이러한 가짜 백신이 벌어 들이는 수익이 매달 3400만 달러(약 400억원)에 이른다고 합니다.

    악성 소프트웨어(Malware, 바이러스, 웜, 악성 코드 등등)는 사용자의 컴퓨터나 네트워크에 영향을 미치고, 특히 신용카드, 계정정보와 같은 중요한 정보를 외부로 빼돌리기 때문에 사용자의 인식이 매우 높은 편입니다.

    가짜 백신은 이러한 사용자의 관심 및 호기심을 이용하여 돈을 야금야금 벌어 들입니다. 가짜 백신을 설치하여 컴퓨터를 검사하면 있지도 않은 악성 프로그램이 있다고 엉터리로 알려주고 이를 치료하기 위해서는 돈을 지불해야 한다고 합니다. 또한, 실시간 감지와 같이 시스템 트레이에 상주해서 시도때도 없이 바이러스가 나타났다고 알려서 사용자의 돈을 뜯어 내기도 합니다.

    또한, 7월달 DDOS와 같이 새로운 컴퓨터 위협이 나타나게 되면 오히려 가짜 백신의 사용이 늘어나 수익을 늘려 주는 어이없는 상황이 벌어지기도 합니다.

    하지만, 악성 프로그램과는 달리 사용자 컴퓨터에는 크게 피해를 주지 않기 때문에 아직까지 보안기업(백신회사) 및 법적인 관심 밖에 있는 것이 사실입니다. 가짜 백신이 악성 프로그램을 다운로드하거나 포함하고 있지 않은 경우, 즉 악성 프로그램과 같은 행태를 보이지 않는 이상에는, 가짜 백신을 악성 프로그램으로 간주하기란 그리 쉬운 판단이 아니기 때문입니다. 

    최근에는 MS에서 이러한 가짜 백신에 대한 진단을 추가하여 기사화된 적이 있으며 자세한 사항은 아래 링크를 참고하십시오.

    MS 악성소프트웨어 제거 도구, 드디어 사이비 안티바이러스 제품 제거 기능 추가


    마지막으로, PandaLabs가 제공하는 보고서에는,
    • 가짜 백신이 미치는 영향
    • 가짜 백신의 출현 빈도 및 미래에 대한 예측
    • 2009년 1사분기의 감염 실태
    • 가짜 백신이 벌어 들이는 수익
    • 가짜 백신을 배포하는 방식
    에 대한 내용을 포함하고 있습니다.

    보고서는 PDF문서로 공개되어 있으며 아래 링크에서 다운로드하여 볼 수 있습니다.


    PS: 한화 환산하는데 오류가 있어 수정했습니다. ^^;


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      안티 바이러스와 같은 보안 제품이 아니지만 정확히는 보안 제품인 척하면서 컴퓨터를 망가뜨리거나 돈을 내야만 정상적으로 동작하게 하는 프로그램을 보통 허위 보안 프로그램(Rogue Security Program)이라고 합니다.

      가장 대표적인 예로는 Antivirus 2009가 있으며, 최근에는 맥 운영체제에서 동작하는 가짜 보안 제품이 인터넷 상에서 유포되고 있다고 합니다.

      외국 보안 회사로 알려져 있는 선벨트(Sunbelt) 사의 알렉스 에켈베리에 따르면 '맥가드(MacGuard)'라고 하는 제품을 광고하는 웹사이트를 발견했다고 합니다.

      http://www.macguard.net

      이 제품은 OS X 운영체제에서 사용할 수 있으며 안티바이러스 뿐만 아니라 스파이웨어 기능도 제공하며 애드웨어와 피싱 공격도 차단할 수 있다고 되어 있습니다.

      아직까지 이 사이트에서 다운로드받을 수 있는 링크는 나타나지만 실제로는 다운로드할 수 없습니다.

      사용자 삽입 이미지

      이 사이트들의 배경에는 'Antivirus XP 2008'과 'XP Antivirus'를 배포하는 집단이 있을 것으로 믿어지고 있습니다. 이 두 프로그램은 허위 윈도우 보안 프로그램으로 사용자에게는 최악의 피해를 입히고 있으며, 최근에는 V3를 비롯한 다양한 안티바이러스에서 이를 진단하는 추세를 보이고 있습니다.

      만약 MacGuard 프로그램이 정말 가짜 보안 프로그램으로 밝혀진다면 이는 맥 운영체제에서 출현하는 악성 프로그램으로 또다른 전기를 맞게 될 수도 있습니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        컴퓨터를 사용하면서 필요한 보안 프로그램은 어떤 것이 있을까요?

        대표적인 것을 골라 본다면, 바이러스 백신(안티 바이러스), 악성코드 치료 프로그램(안티 스파이웨어), 개인용 방화벽 프로그램, 키보드 보안 프로그램 등을 들 수 있을 것입니다.

        이러한 제품을 구입 또는 무료 사용할 때 가짜 또는 거짓 보안 프로그램라는 것을 알게 된다면?

        바이러스 백신의 경우에는 대부분 V3, 하우리, 시만텍 등 보안 회사의 이름이 충분히 알려져 있기 때문에 가짜 백신이 나타날 가능성은 그리 많지 않습니다. 하지만, 일반인이 컴퓨터를 잘 모른다는 이유로 다양한 사기(?) 프로그램들이 판치고 있으며, 특히 악성코드 치료 제품들이 이러한 문제점의 대부분을 차지하고 있습니다.

        먼저, '가짜 보안 프로그램'의 정의를 내려 본다면, '보안 기능을 수행한다고 하면서 실제로는 그러한 기능을 충분히 제공하지 않으면서, 결제 등을 통해 금전적인 이득을 취한다'라고 할 수 있겠습니다(개인적 정의죠)

        '가짜 보안 프로그램'은 보통 사용자 모르게 다른 프로그램과 함께 교묘하게 설치되거나, 웹 검색, 사이트를 방문하는 중간에 Active-X 컨트롤로 다운로드하여 설치됩니다. 부팅시 또는 일정한 시간마다 사용자에게 컴퓨터가 감염되어 있다는 경고 대화상자를 보여 주거나, 실제로는 감염되지 않은 바이러스/웜/악성코드가 있다고 속이고, 그리고 결제를 유도합니다.

        가장 많이 사용하는 Windows XP SP2에서는 브라우저에서 파일을 다운로드하거나, Active-X 컨트롤을 설치할 때에 경고 대화상자를 보여주게 되므로, 사용자들은 무조건 '예'를 누를 것이 아니라, 이 프로그램이 정말 설치해야 하는지, 한 번 더 검토할 필요가 있다고 보여집니다.

        바이러스 제로(네이버)카페에서 '벌새'라는 회원분이 올리신 악성코드 치료프로그램에 대한 목록을 검토해 보면, 실제 어떤 프로그램이 믿을만하고 신뢰할 수 있는지 쉽게 알 수 있습니다.

        http://cafe.naver.com/fprot.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=22756 (로그인이 필요할 수 있음)


        한 편, 백신 회사로 유명한 TrendMicro에서 이러한 '가짜 보안 프로그램'에 대한 자료를 발간했는데 통계에 따르면, 가짜 보안 프로그램이 2006년에 2%정도였던 것에 반해 2007년에는 10%까지 크게 늘었다고 합니다. 이러한 프로그램은 매년 5배 이상 증가일로 있으며, 이로 인해 사용자의 피해가 늘어날 수 있습니다.

        이러한 피해를 막기 위해 Trend Micro는 다음 사항을 지킬 것을 추천합니다.

        1. 사용자는 이름있고, 적합하고, 믿을만한 회사의 보안 소프트웨어만을 구매한다.

        2. 컴퓨터가 감염된 것을 확인한 경우에는 믿을 수 있는 온라인 서비스 등을 이용하여 한번 더 검사한다(예를 들어, Trend Micro의 HouseCall과 같이 온라인 검사를 지원하는 다양한 사이트를 이용합니다)

        3. 보안 소프트웨어를 구매하기 전에, 그 제품에 대한 리뷰와 사용자들의 사용 후기와 같은 정보를 살펴 본다. 인터넷을 통해 온라인으로 구매할 때에는 인터넷 브라우저에서 오른쪽 하단에 잠금 자물쇠 표시가 나오는 안전한 사이트에서 구매한다.

        4. 독립적인 기관(예를 들어, Spyware Warrior)에서 제공하는 가짜 소프트웨어의 목록을 살펴 보아서 구매할 제품이 여기에 포함되어 있는지 확인한다.

        마지막으로 하나 덧붙이자면, 정통부와 소보원에서는 악성코드 제품의 기준에 대한 자료를 발간했는데, 어떤 제품이 좋고 나쁘고를 떠나서, 합법적인 기준을 제시하는 어처구니 없는 사태가 발생하기도 했습니다.

        정부, 허위 안티스파이웨어 사용 조장 논란 예상

        정부 기관 조차도 제대로 된 의식을 가지고 있는지 답답합니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory