특히 작년에 발견된 마이크로소프트(Microsoft) MSE 보안 제품과 동일한 디자인으로 위장한 방식은 사용자의 눈을 속여 최종적으로 자신들이 원하는 가짜 백신을 설치하게 유도하여 유료 결제를 요구하고 있습니다.
이번에 살펴볼 최근의 해외 가짜 백신 설치 파일(MD5 : 160aca37129092cd7703f60d4a55b34b)을 통해 어떤 방식으로 전개가 이루어지는지와 감염시 정상적인 PC 사용을 방해할 경우 수동으로 문제를 해결할 수 있는 방법을 살펴보도록 하겠습니다.
참고로 예전의 Spam 이메일을 통하여 XP Internet Security 2011 가짜 백신 감염으로 인한 exe 실행 파일 방해를 해결할 수 있는 방법도 참고하시기 바랍니다.
글에 들어가기에 앞서 해외 가짜 백신에 감염된 경우 정상적인 프로그램을 실행할 경우 방해를 받을 경우가 있습니다.
이런 경우에는 반드시 시스템 재부팅을 하지 않은 상태에서 실행 가능한 프로그램(예, 윈도우 탐색기, Internet Explorer 웹 브라우저 등)이 무엇인지 확인하시기 바랍니다.
해당 악성코드에 감염된 경우 MSE 보안 제품으로 위장한 Microsoft Security Essentials Alert 진단창이 생성되며 치료를 하도록 유도하고 있습니다.
사용자가 해당 진단창이 생성되는 PC에서는 작업 관리자, 레지스트리 편집기 및 기타 소프트웨어를 실행할 경우 해당 진단창이 반복적으로 노출되어 매우 불편을 겪게 만들고 있습니다.
이번에 살펴본 악성코드의 경우에는 윈도우 탐색기의 경우 정상적으로 동작을 하고 있는 것을 확인할 수 있으며, 감염시 다음과 같은 파일과 레지스트리를 생성합니다.
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\ttvpkf.exe
- MD5 : 160aca37129092cd7703f60d4a55b34b
- Microsoft : Rogue:Win32/FakePAV (VirusTotal : 20/42)
※ 해당 파일은 (Random 6자리 영문).exe 형태를 가지고 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\ttvpkf.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\afwserv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
- DisableSR = 1
해당 악성코드에 감염된 경우 시스템 시작시 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell] 값으로 인하여 정상적인 소프트웨어 실행을 방해하며, avast!, MSE, NOD32, Windows Defender 보안 제품들의 실행을 차단하고 있습니다.
사용자가 수동으로 문제를 해결하기 위해서는 진단창만 생성되는 상태에서 재부팅을 하지 않은 상태에서 다음과 같은 원리로 악성 파일을 찾아 제거를 하실 수 있습니다.
현재 윈도우 탐색기(explore.exe)가 영향을 받지 않고 정상적으로 동작하므로, 작업 관리자(C:\WINDOWS\system32\taskmgr.exe) 실행을 위하여 taskmgr.exe 파일을 윈도우 탐색기로 찾아서 해당 파일명을 explore.exe 파일로 변경을 합니다.
그림과 같이 실행된 작업 관리자에서 수상한 프로세스를 찾아 프로세스 끝내기를 하시면 1차적으로 사용자가 프로그램을 실행할 경우 Microsoft Security Essentials Alert 진단창이 생성되는 문제가 사라집니다.
이제 윈도우 탐색기를 통해 [C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft] 폴더 내에 존재하는 숨김(H) 속성의 악성 파일을 찾아 수동으로 삭제를 한 후, 추가적으로 레지스트리 편집기를 통해 생성된 레지스트리 값들을 제거하시면 됩니다.
문제는 최초 생성되는 Microsoft Security Essentials Alert 진단창을 진짜 MSE 보안 제품의 진단창으로 착각을 하여 Clean computer, Apply actions 버튼을 클릭할 경우에는 마치 치료를 하는 것처럼 진행하여 해당 문제를 해결할 수 있는 보안 솔루션을 설치하는 경우가 있습니다.
이번 악성코드의 경우에는 Windows Clear Problems라는 프로그램을 설치하도록 유도를 하고 있으며, 사용자가 인스톨을 할 경우 설치가 이루어지는 것처럼 구성하여 최종적으로 시스템 재부팅을 요구합니다.(※ 실제 Windows Clear Problems라는 프로그램이 추가로 설치되는 것이 아닙니다.)
시스템 재부팅 후에는 Windows Clear Problems 프로그램이 자동으로 실행되어 악성코드 검사 및 결제를 유도하는 동작이 이루어지며, 이전과 동일하게 윈도우 탐색기를 제외한 모든 프로그램의 실행을 차단합니다.
특히 이 경우에는 파일명 바꿔치기 방식으로 작업 관리자를 실행하는 방식 역시 효과가 없으므로 일반 사용자의 경우 매우 어려움을 겪을 것으로 보입니다.
이런 상황에서는 윈도우 탐색기를 통해 [C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft] 폴더에 접근하여 문제의 악성 파일을 찾아 파일 확장자 명을 변경하시기 바랍니다.(예, ttvpkf.exe → ttvpkf.exe-)
그 후 시스템 재부팅을 하시면 Windows Clear Problems 프로그램은 동작하지 않으며, 사용자는 파일 확장자가 변경된 악성 파일을 찾아 수동으로 삭제하시면 문제가 해결됩니다.
위와 같이 해외 가짜 백신은 감염시 정상적인 프로그램 동작을 방해하여 삭제를 방해하는 경향이 매우 강하므로 일반 사용자 입장에서는 감염시 매우 어려움을 겪는 경우가 있습니다.
그러므로 해외에서 제작된 불법 파일(Crack, Keygen 등), 신뢰할 수 없는 이메일 첨부 파일 등을 함부로 실행하지 마시기 바라며, JRE가 설치된 PC에서는 반드시 최신 버전을 사용하는 보안 습관이 필요하겠습니다.