본문 바로가기

벌새::Analysis

해외 가짜 백신 : XP Home Security 2012

반응형
해외에서 제작된 가짜 백신(FakeAV)은 최근 2012년 보안 제품으로 위장하여 활발하게 배포가 이루어지고 있으며, 이번 샘플에서는 XP Home Security 2012 가짜 백신에 대해 살펴보도록 하겠습니다.(※ 해당 이름은 설치된 사용자 운영체제에 따라 이름이 변경될 수 있습니다.)
 
참고로 해당 가짜 백신의 경우 예전 Spam 이메일을 통해 첨부 파일로 발송된 파일을 실행할 경우 감염되는 XP Internet Security 2011 가짜 백신의 변종이므로 참고하시기 바랍니다.

 

해당 XP Home Security 2012 가짜 백신에 감염된 PC에서는 제어판의 보안 센터에 자신을 등록하여 정상적인 보안 프로그램으로 위장하고 있습니다.

 

감염 후 자동으로 사용자 PC를 검사하여 허위 진단을 통해 마치 사용자 PC가 심각하게 악성코드에 감염된 것처럼 진단하고 있으며, 시스템 재부팅시에도 자동으로 검사하는 동작을 확인할 수 있습니다.

 

진단 후에는 경고창을 생성하여 사용자로 하여금 유료 결제를 위한 등록을 유도하므로 Remind me later 또는 No, leave unprotected 버튼을 클릭하여 추가적인 동작이 이루어지지 않도록 하시기 바랍니다.

 

그 후에도 다양한 위와 같은 경고창 또는 결제 유도창을 생성하여 사용자 PC 사용을 방해하는 동작이 반복적으로 이루어집니다.

 

또한 시스템 트레이에 위치한 XP Home Security 2012 아이콘에서는 수시로 사용자 PC가 감염되었다는 풍선 메시지를 생성하는 동작을 확인할 수 있습니다.

 

실제 결제 관련 버튼을 클릭할 경우 특정 페이지를 실행하여 1년, 2년, 평생 라이센스 결제를 유도하는 것을 확인할 수 있습니다.

 

특히, Windows 시작시, 제어판의 보안 센터, Internet Explorer 웹 브라우저, 다양한 소프트웨어를 실행할 경우 XP Home Security 2012 Firewall Alert 창을 생성하여 프로그램 실행을 방해하는 동작이 이루어집니다.

 

특히 Internet Explorer와 같은 웹 브라우저 실행을 방해하여 인터넷 상에서 정보를 찾지 못하게 합니다.

해당 XP Home Security 2012 가짜 백신에 감염된 경우에는 다음과 같은 방식으로 문제를 해결하실 수 있습니다.

[생성 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\frg.exe
 - MD5 : 45d35cc0fbd7ffdf35f7ef86730cdc15
 - Microsoft : Rogue:Win32/FakeRean (VirusTotal : 12/42)

※ 해당 파일은 (Random 3자리 영문).exe 파일 형태입니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\exefile
HKEY_CURRENT_USER\Software\Microsoft\Windows
 - Identity = 8a5a45dc
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - 3704065805 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\frg.exe

해당 악성코드는 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data] 폴더 내에 임의의 파일을 생성하며, 자신을 시작 프로그램으로 등록하여 Windows 시작시 자동 실행되도록 구성되어 있습니다.

 

다행히 감염된 PC에서는 감염 직후 또는 재부팅 후에도 작업 관리자가 정상적으로 동작하므로 사용자는 수상한 프로세스를 찾아 강제로 종료를 하시기 바랍니다.

 

그 후 윈도우 탐색기(정상 동작)를 실행하여 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data] 폴더 내에 존재하는 그림과 같은 아이콘 모양의 exe 파일을 수동으로 삭제하시기 바랍니다.

 

해당 파일 삭제 후에도 실제 Internet Explorer 웹 브라우저를 비롯하여 소프트웨어를 실행할 경우 연결 프로그램 창이 생성되어 정상적인 프로그램 실행이 불가능하므로 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.

1. 레지스트리 편집기(C:\WINDOWS\regedit.exe) 파일을 윈도우 탐색기로 찾아 해당 파일을 regedit.com으로 변경하여 레지스트리 편집기를 실행하시기 바랍니다.

2. 레지스트리 편집기에서 다음의 레지스트리 등록값을 찾아 수동으로 삭제하시기 바랍니다.

 

  • HKEY_CURRENT_USER\Software\Classes\.exe
  • HKEY_CURRENT_USER\Software\Classes\exefile

해당 레지스트리 값을 삭제 후에는 정상적으로 모든 프로그램의 실행이 이루어지므로, 변경된 레지스트리 편집기 파일(regedit.com)을 regedit.exe 파일로 다시 변경하시기 바랍니다.(※ WFP 기능으로 regedit.exe 파일이 자동 복원되었을 수도 있습니다.)

 

3. 생성된 레지스트리 값을 찾아 추가로 삭제하시기 바라며, 다음의 변경된 레지스트리 값을 변경 전 값으로 수정하시기 바랍니다.

[변경 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
 - (기본값) = "C:\Program Files\Internet Explorer\iexplore.exe" :: 변경 전
 - (기본값) = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\frg.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe" :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
 - AntiVirusDisableNotify = 0 (변경 전), 1 (변경 후)
 - AntiVirusOverride = 0 (변경 전), 1 (변경 후)
 - FirewallDisableNotify = 0 (변경 전), 1 (변경 후)
 - FirewallOverride = 0 (변경 전), 1 (변경 후)
 - FirstRunDisabled = 0 (변경 전), 1 (변경 후)
 - UpdatesDisableNotify = 0 (변경 전), 1 (변경 후)

마지막으로 서비스로 등록된 Windows 자동 업데이트 관련 레지스트리 값을 삭제하여 보안 업데이트가 이루어지지 않도록 하고 있습니다.

[삭제 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WUAUSERV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUAUSERV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

그러므로 해당 문제를 해결하기 위해서는 실행창에 [regsvr32 wuaueng.dll] 명령어를 입력하여 해제된 Windows 업데이트 모듈을 등록하시면 삭제된 레지스트리 값이 복원됩니다.

그 외 제어판의 보안 센터에서 중지된 Windows 방화벽을 다시 실행하시면 정상적으로 이용하실 수 있습니다.

이번 XP Home Security 2012 가짜 백신은 앞으로도 꾸준히 년도 표시가 변경되어 변종이 발생하는 대표적인 형태이며, 감염시 악성 파일 제거 후에도 정상적인 프로그램 실행을 방해하므로 추가적인 레지스트리 수정이 필요합니다.

728x90
반응형
  • 이전 댓글 더보기
  • 삭제가 안되요. 2011.07.16 15:08 댓글주소 수정/삭제 댓글쓰기

    제 친구가 안되서 원격으로 도와주고 있는데요.
    정상적으로 urh.exe 파일을 찾았습니다.
    그래서 삭제하려고 했는데
    액세스가 거부되었답니다. 디스크가 꽉 찼거나 쓰기 금지되었는지 , 아니면 실행중인지 확인해보라고 하네요.. 이럴땐 어떻게 해야하나요?
    아, 작업관리자 켜서 프로세스 봤는데 창에 나타나지도 않았습니다.

    • 모든 사용자 항목에 체크해서도 안보일 경우에는 Process Explorer와 같은 전문 프로그램으로 어느 프로세스에 핸들되어 있는지 확인하여 해당 프로세스를 종료해야 할 것으로 보입니다.

      내용상으로는 제가 추가로 코멘트해 드릴 부분이 없는 것 같습니다.

  • 비밀댓글입니다

    • 죄송합니다. 개인적인 원격 지원은 오해의 소지나 책임 문제로 인하여 해드리지 않고 있습니다.

      보호나라(전화 : 118)를 통해 원격을 받아보시기 바랍니다.

  • 쪽마른카우링 2011.07.17 21:16 댓글주소 수정/삭제 댓글쓰기

    덕분에 잘 해결했습니다.
    상세한 설명 정말 감사합니다!
    아 regedit.com으로 변경안된다고 하신분들은 폴더옵션에서 알려진 파일 형식의 파일 확장명 숨기기가 체크되어서 일수도 있을거 같습니다.
    저의 경우 그랬구요, 체크 해제하시면 정상적으로 regedit.exe라고 보여서 말씀대로 고칠 수 있었습니다.

  • 심성엽 2011.07.21 11:59 댓글주소 수정/삭제 댓글쓰기


    (기본값) = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\frg.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe" :: 변경 후

    (사용자계정)
    여기서 (심성엽)
    이런식으로 해야되나요??ㅎㅎ

  • 바이러스 ㅄ 2011.07.25 09:57 댓글주소 수정/삭제 댓글쓰기

    HKEY_CURRENT_USER\Software\Classes\.exe
    HKEY_CURRENT_USER\Software\Classes\exefile
    이갑을 삭제하려니까 지정된값을 지울수없다는데 어떻게해야하나여..
    그리고 그 기본값) = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\frg.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe이걸 변경전으로 바꿔서 확인눌럿는데도 못바꾼다는데...

    • 해당 상황으로 추정해보면 사용자 윈도우 계정이 어드민(관리자) 계정이 아닌 게스트 계정이 아닌가 생각됩니다.

      이런 경우 레지스트리 수정 등이 허락하지 않는 것으로 보입니다.

      안전모드나 관리자 계정으로 윈도우에 진입하여 해보시기 바랍니다.

  • 죽겠네요 2011.08.07 01:42 댓글주소 수정/삭제 댓글쓰기

    uvm 파일로 찾았는데 어플리케이션데이타 폴더에 가니까 파일이 없는데

    어쩌죠..? ㅠㅠ

  • 감사합니다 2011.08.10 18:45 댓글주소 수정/삭제 댓글쓰기

    감사합니다ㅜㅜ 이거 감염되고 나서 이거 뭔가하고 엄청 당혹스러웠네요.

    해결 됬는데 이거 결제창 까지도 떴는데 아무것도 않적고 바로 껐으니

    결제 안됬겠죠?

  • 하...바탕화면에있는 2011.08.12 02:24 댓글주소 수정/삭제 댓글쓰기

    하.......바탕화면에있는 exe 파일이라고하나? 네이트온 이런게 다 실행이안되요 ;;;;계속 연결프로그램뜨네요 ㅠㅠ제가 뭐 레지스트 잘못건그린건아닌지... 인터넷은되는데 이젠 다른게다 연결프로그램뜨네요 마지막에 실행창에 regsvr32 wuaueng.dll 이거넣어서 실행시켜도 연결프로그램떠요 ... 레지스트 삭제하라는 2가지 다 삭제했는데 왜이럴까요 ㅠㅠㅠㅠㅠㅠㅠ골이터집니다

    • 하...바탕화면에있는 2011.08.12 02:28 댓글주소 수정/삭제

      오!!!! 됫습니다 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ삭제하라는 파일 2가지 .exe exefile 요걸 파일자체를 삭제해버리니까 되는군요!!!!!! 감사합니다 골칫덩어리를 드디어 해결했군요 이제 네이트온도 인터넷도 되네요~~ 흐흐흐감사합니다

    • 해결되셨다니 다행입니다.^^

  • 김상진 2011.08.13 09:34 댓글주소 수정/삭제 댓글쓰기

    잘되네요감사합니다!!
    그런데 컴퓨터를 껏다가다시키게면 다시 바이러스가 나타납니다
    그럼다시 이방법데로 해결하면 다시 잘되구요..어디가무엇이잘못된건지
    아신다면 좀알려주실수있을까요..?

    • 그 문제는 아마 감염 경로가 문제가 아닐까 싶습니다.

      현재 이들 가짜 백신은 크랙, 키젠 파일을 실행할 경우 감염되는 경우가 많습니다.

      그러므로 그런 파일 설치시 시작 프로그램 등으로 등록하여 시스템 시작시마다 자동으로 매번 다운로드를 시도할 경우에는 말씀처럼 삭제하여도 재설치 될 수 있을 것으로 보입니다.

      일단 시스템을 정상적으로 사용하게 한 후에는 보안 제품으로 정밀 검사를 해보시기 바랍니다.

  • 비밀댓글입니다

    • 게시글에서 제공하는 정보 이외에 더 쉽게 설명하기 어렵군요.ㅠㅠ

    • 파일은 잘 찾으신 것 같습니다.

      이 가짜 백신의 핵심은 실행 파일을 사용하지 못하게 레지스트리를 추가하는 부분이 있습니다.

      파일 삭제 후 인터넷, 각종 소프트웨어가 정상적으로 동작한다면 문제가 해결된 것으로 보이며, 안전을 위해 유명 보안 제품으로 정밀 검사를 하시기 바랍니다.

    • 2011.08.14 16:33 댓글주소 수정/삭제

      비밀댓글입니다

    • 게시글을 제대로 확인을 안하시네요.ㅠㅠ

      2. 레지스트리 편집기에서 다음의 레지스트리 등록값을 찾아 수동으로 삭제하시기 바랍니다.

      게시글 하단의 2개의 레지스트리 값을 찾아서 삭제를 해주시기 바랍니다.

    • 부탁해요 2011.08.14 16:51 댓글주소 수정/삭제

      번거롭게해드려서 죄송해요..ㄷㄷ
      근데 인터넷은 되는데 다른 파일들이 실행이안되고
      파일을 누르면 연결프로그램이 뜨는데 위에 같은 파일모양이된게 없는데 어떻게하나요?
      댓글다신분들것도 한번보고 해봣는데
      C:/WINDOWS/regedit.exe 가 안되서
      regedit.com도 안되구 expolrer.com도 하면 자꾸 연결프로그램이 뜨네요;; 어떻게하는지 부탁드려요

  • 고맙습니다ㅎㅎ 2011.12.09 21:41 댓글주소 수정/삭제 댓글쓰기

    일단 해결을 본 사람입니다. 감사합니다!
    우연찮게 검색을 통해 해결방법을 알게 되어 다행이네여..ㅎ
    그런데,제 컴퓨터에서는 몆몆 레지스트값이 않지워지는겁니다.
    뭐지? 싶었는데
    알고보니 사용자 권한이 읽기 말고는 없더라구요.
    혹시 레지스트가 안 지워지는 분이 있으시다면,
    레지스트 오른쪽 클릭해서 사용자권한에서
    모든 권한에 체크하신뒤 지우세요.
    전 그렇게하니까 지워지더라구요

  • 우왕 2012.01.01 09:26 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다ㅠㅠㅠ 많은 도움이 됬습니다...
    집 컴퓨터가 고장난건 아닌거 같고 분명 백신이라고 생각했던 프로그램이
    바이러스였다니...PC방에서 정보 찾고 집에서 실행해서 잘 고쳐졌습니다...
    복받으실거에요^^

  • 해결 2012.01.08 16:15 댓글주소 수정/삭제 댓글쓰기

    저도 정말 감사합니다! 저도 이글보고 겨우 해결됐어요. 저같은경우에는,
    1. 랜덤영문3자리.exe 삭제, 그러나 application data 내에 다른 그림모양의 exe는 없어서 삭제못했구요.
    2. 레지스트리편집기실행. 이게 좀 골치였거든요. exe->com 으로 바꾸는걸 이해를 못해서 인터넷에서 찾아 다니다가 <<< command /c copy %WinDir%\regedit.exe regedit.com | regedit.com >>> 이것을 찾아서 시작-실행-붙여넣기 하니까 '레지스트리편집기기'가 다행이 창이 떠서 HKEY_CURRENT_USER\Software\Classes\.exe 는 삭제했꼬 exefile은 없어서 삭제못했어요.
    3. 그리고 나머지 알려주신것 다 변경완료. =======> 이제는 다 잘돼요. 하지만 제가 과정중에 삭제하지 못한것들이 있는 것 같아 좀 찝찝하긴 하지만 바이러스 정밀검사 한번하고 쓰면 괜찮겠죠.ㅎㅎ 감사합니다!!!!!!!! 새해복많이받으세요!! ㅎㅎㅎ 정말 유용한 정보입니다ㅠ _ㅠ

  • 해결 2012.01.08 16:16 댓글주소 수정/삭제 댓글쓰기

    아 주인장님~ 그리고 여쭤볼게 있는데요.
    1. 이제는 [시스템복원]가능해서, 가짜백신이 깔리기 전인
    1/2일 날짜로 돌리려고 하는데그래도 문제 없을까요?-0-
    다시 살아날까봐 좀 무서워서요;;
    2. 삭제못한 몇가지 레지스트리값은 그냥 둬도 문제없을지요?

  • EXE파일 실행 안됨 2012.01.10 09:44 댓글주소 수정/삭제 댓글쓰기

    우선, 해결방법 자세하게 알려주셔서 감사합니다.
    그런데 저같은 경우에는 위와 같이 다 해서 모두 해결된 줄 알았는데,
    갑자기 재부팅하고 나서 모든 exe 파일 실행 시(한글, 오피스 등) 메모장 파일이 실행됩니다.
    저는

    2. 레지스트리 편집기에서 다음의 레지스트리 등록값을 찾아 수동으로 삭제하시기 바랍니다.
    ■HKEY_CURRENT_USER\Software\Classes\.exe
    ■HKEY_CURRENT_USER\Software\Classes\exefile

    이 단계까지 실행하고, 그 뒤로는 변경이 되어 있어서 재부팅 하였습니다. ㅠ.ㅠ
    도와주세요

    • 그 부분은 아마 사용자가 연결 프로그램이 떴을 때 특정 프로그램으로 기본값을 변경한 것이 아닐까 싶습니다.

      이런 부분은 프로그램 삭제 후 재설치하시거나 수동으로 파일 연결을 변경해야 할 것으로 보입니다.

      예를 들어 hwp 파일인 경우 해당 파일에 마우스 우클릭하여 연결 프로그램 메뉴를 실행하여 원래의 프로그램으로 실행하도록 수정하듯이..

  • 최고에요! 2012.01.17 19:00 댓글주소 수정/삭제 댓글쓰기

    덕분에 정말 무사히 해결했습니다...저같은 경우에는 qkm.exe로 되어있더군요.윈도우 작업관리자에서 혹시나,싶어서 '영문세글자.exe' 찍어서 해봤는데 한번에 꺼지더라구요.그 후에도 뭐가 문제였는지 윈도우 탐색기가 정상작동이 안되고 연결프로그램이 떠서 직접 내컴퓨터->C드라이브->윈도우 들어가서 레지스트리편집기 찾아서 더블클릭 하니까 그건 되더라구요~아 그리고 마지막에 [삭제 레지스트리 등록 정보]보고 그걸 찾아서 삭제해야 된다는 줄 알고 어 난 없는데ㅠㅠ 이러고 있었답니다..뒤에 읽고서야 그게 삭제되어서 복구하라는 말이라는 걸 알았습니다.저같은 분 없으시길!
    아무튼 정말 감사합니다!최고에요!!

    • 다행이 도움이 되었네요.^^ 앞으로 인터넷 하실 때에는 수상한 파일 실행을 조심하시고, 윈도우 업데이트와 Adobe Flash Player, Oracle JRE 업데이트를 잘 하시면 됩니다.^^

  • Ddd 2012.01.18 19:17 댓글주소 수정/삭제 댓글쓰기

    작업관리자 어디에서찾아여 ??ㅜ 저도 감염됫음

  • Ddd 2012.01.18 19:45 댓글주소 수정/삭제 댓글쓰기

    윈도우탐색기는 안켜지고 게속 방해하는 프로그램만나와여 ㅜ 어떻게해야됨?그리고 작업관리자에서는 아이콘이 안나오고글만나오는데여??

    • 보통 이런 악성코드에서 방해할 목적으로 특정 파일명 또는 확장자 단위로 실행을 차단할 수 있습니다.

      그러므로 윈도우 탐색기 파일을 다른 프로그램(예, 탐색기 기능이 가능한 SW)을 통해 대체하거나 그런 프로그램으로 윈도우 탐색기 파일(explorer.exe)의 파일명이나 확장자를 변경(exe - com)하여 실행해 보시는 것도 방법입니다.

      그런 지식이 없으시다면 포맷 외에는 방법이 없습니다.

  • ddd 2012.01.18 20:22 댓글주소 수정/삭제 댓글쓰기

    pkm.exe라는프로세스를 삭제햇는데도 게속 나타나내여 ;;그리고 알기쉽게 요약해서 설명해주세요 컴맹기준으로 ㅜㅜ ㅈㅅ

    • 질문하신 분이 정확하게 해당 가짜 백신에 감염되었는지 잘 모르겠지만, 워낙 종류가 많고 이 악성코드를 작성할 당시에 현재는 좀 달라져 있을 수도 있으므로 직접 보지 않는 한 어려울 것 같습니다.

      현재 내용 외에는 제가 달리 설명할 부분이 없습니다.

  • virus 이백신이에요