마이크로소프트(Microsoft) 업체에서 매월 정기적으로 제공되는 보안 업데이트 구성 요소 중 악성코드 진단 및 치료를 목적으로 업데이트되는 "Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)"가 있습니다.
이번 2012년 10월 MSRT 업데이트 목록에는 예전부터 마이크로소프트(Microsoft) 분기 보고서를 통해 전 세계 TOP 진단률을 보였던 국내 유료 악성코드 제거 프로그램, 개인정보 보안 솔루션, PC 최적화 프로그램에 대하여 Win32/Onescan 악성 프로그램에 대한 진단명이 추가되었다는 소식입니다.
▷ <Microsoft Malware Protection Center> MSRT thwarts rogues with just one scan (2012.10.9)
Win32/Onescan 진단명으로 진단되는 악성코드 제거 프로그램은 국내 인터넷 사용자를 주 대상으로 하고 있으며, 개인적으로 파악하기로는 몇 년에 걸쳐서 최소 100~150 이상의 다양한 이름으로 배포가 이루어지고 있습니다.
마이크로소프트(Microsoft)에서는 Win32/Onescan 진단명과 관련된 상세한 분석 정보와 사진을 통해 해당 악성코드 제거 프로그램이 얼마나 활발하게 배포되고 있는지 소개하고 있는 점이 눈길을 끌고 있습니다.
다음의 목록은 마이크로소프트(Microsoft) 업체에서 언급한 Win32/Onescan 진단명과 관련된 프로그램 또는 인터넷 서비스 목록입니다.
| alphavaccine anycop bestvaccine bizvaccine bluevaccine boandefender boanguard boaninfo boankeeper boansupporter boanupgrade Bootcare checkvaccine cleanvaccine coolspeed DASearch defencevaccine directvaccine diskvaccine doublevaccine DoubleVaccine easyboan easyvaccine EnPrivacy everyclean EveryGuard everyguard fastcure fastpc fastvaccine firstvaccine goodvaccine |
gvaccine HardScan highclear highvaccine homevaccine infoclear InfoData InfoDoctor InfoHelper infosaver internetspeed keepprotect lifeclean lightpc litevaccine livepc livesafer mastervaccine microboan multicare multivaccine MyKeeper mypcclean mysafer myvaccine MyVaccine neovaccine netvaccine onescan pcboan365 PCTrouble pcupgrade |
perfectcure pointvaccine powerboan powercure primevaccine proguard proscan provaccine purevaccine realchecker realcleaner realsecurity searchvaccine Siren114 smartmode smartsafer smartspeed SmartVaccine solutionpc specialguard speedcheck speedcontrol speedcure speedplus speedsolution speedtools speedvaccine sweeperlab topboan topchecker topvaccine totalvaccine |
UProtect userboan userprotect UtilKorea UtilMarket vaccinecode vaccinecom VaccineCure vaccinefree vaccinehelper vaccinekiller vaccinenet vaccineon vaccinepc vaccinepower vaccineprogram vaccinesafe vaccinesafer vaccineupdate vaccinezero vcboan vcmanager windowcure windowguard WindowVaccine windowvaccine WiseVaccine wisevaccine XProtect zerocop zvaccine |
물론 해당 목록에 포함되지 않은 유사 변종 프로그램이 존재하며, 이들에 대해서도 상당 부분 Win32/Onescan 진단명으로 진단이 이루어지고 있는 것으로 파악되고 있습니다.
실제 해당 목록에는 포함되어 있지 않은 유사 악성코드 제거 프로그램이 설치된 환경을 가정하여 "Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)"를 이용하여 검사를 진행해 보았습니다.
참고로 테스트에서 확인된 프로그램의 설치 파일(MD5 : fc8959410df86e80ad189dc7ca9cccb8)에 대하여 국내 백신 프로그램에서는 AhnLab V3 제품만이 PUP/Win32.Security (VirusTotal : 26/44) 진단명으로 진단되고 있는 수준입니다.(※ 현재 해당 진단명은 기업용 제품에서만 유효하며, 개인 사용자 AhnLab V3 백신 프로그램에서는 진단되지 않는 PUP 확장 진단명입니다.)
Microsoft Windows Malicious Software Removal Tool v4.13, October 2012
Started On Wed Oct 10 14:32:55 2012Extended Scan Results
----------------
->Scan ERROR: resource process://pid:2936 (code 0x00000005 (5))
->Scan ERROR: resource file://C:\pagefile.sys (code 0x00000020 (32))
Threat detected: Rogue:Win32/Onescan
containerfile://C:\Program Files\specialvaccine\specialvaccine.exe
containerfile://C:\Program Files\specialvaccine\specialvaccineu.exe
containerfile://C:\Users\VMHOME2011\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3QRGRCMR\specialvaccineu[1].exe
containerfile://C:\Users\VMHOME2011\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BX0JOWQV\specialvaccine[1].exe
file://C:\Program Files\specialvaccine\specialvaccine.exe->(UPX)
SigSeq: 0x0000717878C6C25B
SHA1: C51C8827C8F26D0231F80CCF7BF333EBCC0D92A9
file://C:\Program Files\specialvaccine\specialvaccineu.exe->(UPX)
SigSeq: 0x00012F7899FD2B2A
SHA1: 784AE9E5ED1A1945CBF0F16A083DCFDFDAE8D5E6
file://C:\ProgramData\Microsoft\Windows\Start Menu\Programs\specialvaccine\specialvaccine.lnk
file://C:\Users\VMHOME2011\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3QRGRCMR\specialvaccineu[1].exe->(UPX)
SigSeq: 0x00012F7899FD2B2A
SHA1: 784AE9E5ED1A1945CBF0F16A083DCFDFDAE8D5E6
file://C:\Users\VMHOME2011\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BX0JOWQV\specialvaccine[1].exe->(UPX)
SigSeq: 0x0000717878C6C25B
SHA1: C51C8827C8F26D0231F80CCF7BF333EBCC0D92A9
process://pid:3064
"Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)"를 통해 검사가 완료된 후 Rogue:Win32/Onescan 진단명으로 진단된 파일에 대하여 자동 치료를 통해 해당 악성코드 제거 프로그램의 실행 파일 및 자동 실행 파일을 제거하여 실제적으로 PC에서 동작이 이루어지지 못하도록 하고 있습니다.
마이크로소프트(Microsoft) 업체에서 제공하는 "Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)"는 다양한 악성코드 중에서도 다양한 부분을 고려하여 진단 패턴을 추가한다는 점을 고려한다면 국내에서 제작된 프로그램을 진단에 넣은 첫 사례가 아닌가 싶습니다.
비단 MSRT 도구 뿐 아니라 마이크로소프트(Microsoft) 업체에서 제공하는 Microsoft Security Essentials(MSE) 무료 백신에서도 동일하게 진단이 되고 있으며, 해당 다수의 유명 백신 프로그램에서도 진단이 되고 있는게 현실입니다.
단, 국내에서는 법(法)적인 부분으로 인하여 단순히 Win32/Onescan 진단명을 유발하는 제작사 업체 프로그램 전체를 진단하지는 않고 있지만, "1회용 서비스(Services) 등록을 통한 악성 프로그램 유포 사례"와 같이 Win32/Onescan 계열의 악성코드 제거 프로그램, 개인정보 보안 솔루션 등의 프로그램이 사용자 몰래 설치되었던 적이 있었습니다.
아무튼 마이크로소프트(Microsoft) 업체에서 제공하는 MSRT, MSE 보안 기능을 이용하여 Win32/Onescan 악성코드를 더욱 공격적으로 진단하여 제거하고 있으므로, 이런 류의 악성코드 제거 프로그램 또는 개인정보 보안 솔루션으로 인해 불편을 겪는 분들은 "Microsoft Windows 악성 소프트웨어 제거 도구(MSRT)"를 이용하여 시스템 전체 검사를 하시길 권장해 드립니다.