본문 바로가기

벌새::Analysis

해외 가짜 백신 : XP Home Security 2012

반응형
해외에서 제작된 가짜 백신(FakeAV)은 최근 2012년 보안 제품으로 위장하여 활발하게 배포가 이루어지고 있으며, 이번 샘플에서는 XP Home Security 2012 가짜 백신에 대해 살펴보도록 하겠습니다.(※ 해당 이름은 설치된 사용자 운영체제에 따라 이름이 변경될 수 있습니다.)
 
참고로 해당 가짜 백신의 경우 예전 Spam 이메일을 통해 첨부 파일로 발송된 파일을 실행할 경우 감염되는 XP Internet Security 2011 가짜 백신의 변종이므로 참고하시기 바랍니다.

 

해당 XP Home Security 2012 가짜 백신에 감염된 PC에서는 제어판의 보안 센터에 자신을 등록하여 정상적인 보안 프로그램으로 위장하고 있습니다.

 

감염 후 자동으로 사용자 PC를 검사하여 허위 진단을 통해 마치 사용자 PC가 심각하게 악성코드에 감염된 것처럼 진단하고 있으며, 시스템 재부팅시에도 자동으로 검사하는 동작을 확인할 수 있습니다.

 

진단 후에는 경고창을 생성하여 사용자로 하여금 유료 결제를 위한 등록을 유도하므로 Remind me later 또는 No, leave unprotected 버튼을 클릭하여 추가적인 동작이 이루어지지 않도록 하시기 바랍니다.

 

그 후에도 다양한 위와 같은 경고창 또는 결제 유도창을 생성하여 사용자 PC 사용을 방해하는 동작이 반복적으로 이루어집니다.

 

또한 시스템 트레이에 위치한 XP Home Security 2012 아이콘에서는 수시로 사용자 PC가 감염되었다는 풍선 메시지를 생성하는 동작을 확인할 수 있습니다.

 

실제 결제 관련 버튼을 클릭할 경우 특정 페이지를 실행하여 1년, 2년, 평생 라이센스 결제를 유도하는 것을 확인할 수 있습니다.

 

특히, Windows 시작시, 제어판의 보안 센터, Internet Explorer 웹 브라우저, 다양한 소프트웨어를 실행할 경우 XP Home Security 2012 Firewall Alert 창을 생성하여 프로그램 실행을 방해하는 동작이 이루어집니다.

 

특히 Internet Explorer와 같은 웹 브라우저 실행을 방해하여 인터넷 상에서 정보를 찾지 못하게 합니다.

해당 XP Home Security 2012 가짜 백신에 감염된 경우에는 다음과 같은 방식으로 문제를 해결하실 수 있습니다.

[생성 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\frg.exe
 - MD5 : 45d35cc0fbd7ffdf35f7ef86730cdc15
 - Microsoft : Rogue:Win32/FakeRean (VirusTotal : 12/42)

※ 해당 파일은 (Random 3자리 영문).exe 파일 형태입니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\exefile
HKEY_CURRENT_USER\Software\Microsoft\Windows
 - Identity = 8a5a45dc
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - 3704065805 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\frg.exe

해당 악성코드는 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data] 폴더 내에 임의의 파일을 생성하며, 자신을 시작 프로그램으로 등록하여 Windows 시작시 자동 실행되도록 구성되어 있습니다.

 

다행히 감염된 PC에서는 감염 직후 또는 재부팅 후에도 작업 관리자가 정상적으로 동작하므로 사용자는 수상한 프로세스를 찾아 강제로 종료를 하시기 바랍니다.

 

그 후 윈도우 탐색기(정상 동작)를 실행하여 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data] 폴더 내에 존재하는 그림과 같은 아이콘 모양의 exe 파일을 수동으로 삭제하시기 바랍니다.

 

해당 파일 삭제 후에도 실제 Internet Explorer 웹 브라우저를 비롯하여 소프트웨어를 실행할 경우 연결 프로그램 창이 생성되어 정상적인 프로그램 실행이 불가능하므로 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.

1. 레지스트리 편집기(C:\WINDOWS\regedit.exe) 파일을 윈도우 탐색기로 찾아 해당 파일을 regedit.com으로 변경하여 레지스트리 편집기를 실행하시기 바랍니다.

2. 레지스트리 편집기에서 다음의 레지스트리 등록값을 찾아 수동으로 삭제하시기 바랍니다.

 

  • HKEY_CURRENT_USER\Software\Classes\.exe
  • HKEY_CURRENT_USER\Software\Classes\exefile

해당 레지스트리 값을 삭제 후에는 정상적으로 모든 프로그램의 실행이 이루어지므로, 변경된 레지스트리 편집기 파일(regedit.com)을 regedit.exe 파일로 다시 변경하시기 바랍니다.(※ WFP 기능으로 regedit.exe 파일이 자동 복원되었을 수도 있습니다.)

 

3. 생성된 레지스트리 값을 찾아 추가로 삭제하시기 바라며, 다음의 변경된 레지스트리 값을 변경 전 값으로 수정하시기 바랍니다.

[변경 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
 - (기본값) = "C:\Program Files\Internet Explorer\iexplore.exe" :: 변경 전
 - (기본값) = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\frg.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe" :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
 - AntiVirusDisableNotify = 0 (변경 전), 1 (변경 후)
 - AntiVirusOverride = 0 (변경 전), 1 (변경 후)
 - FirewallDisableNotify = 0 (변경 전), 1 (변경 후)
 - FirewallOverride = 0 (변경 전), 1 (변경 후)
 - FirstRunDisabled = 0 (변경 전), 1 (변경 후)
 - UpdatesDisableNotify = 0 (변경 전), 1 (변경 후)

마지막으로 서비스로 등록된 Windows 자동 업데이트 관련 레지스트리 값을 삭제하여 보안 업데이트가 이루어지지 않도록 하고 있습니다.

[삭제 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WUAUSERV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUAUSERV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

그러므로 해당 문제를 해결하기 위해서는 실행창에 [regsvr32 wuaueng.dll] 명령어를 입력하여 해제된 Windows 업데이트 모듈을 등록하시면 삭제된 레지스트리 값이 복원됩니다.

그 외 제어판의 보안 센터에서 중지된 Windows 방화벽을 다시 실행하시면 정상적으로 이용하실 수 있습니다.

이번 XP Home Security 2012 가짜 백신은 앞으로도 꾸준히 년도 표시가 변경되어 변종이 발생하는 대표적인 형태이며, 감염시 악성 파일 제거 후에도 정상적인 프로그램 실행을 방해하므로 추가적인 레지스트리 수정이 필요합니다.

728x90
반응형