울지않는벌새 : Security, Movie & Society

해외 가짜 백신 : XP Antivirus 2012

벌새::Analysis
해외 사이트 등에서 크랙(Crack), 키젠(Keygen) 등 불법 파일을 실행하거나 악성 인터넷 사이트 접속시 취약점을 이용한 감염을 통하여 설치가 이루어지는 것으로 알려진 해외 가짜 백신(FakeAV) XP Antivirus 2012에 대하여 살펴보도록 하겠습니다.(※ 해당 이름은 사용자 운영체제에 따라 이름이 변경될 수 있습니다.)

XP Antivirus 2012와 유사한 다양한 이름의 가짜 백신들이 존재하므로 기존 정보를 참고하시기 바랍니다.

XP Antivirus 2012 설치 파일(MD5 : dcbd2b1ff45ed36c7fb9459a6b3e4fa7)을 통해 감염이 이루어지면 Windows 보안 센터를 변경하여 XP Antivirus 2012 프로그램이 정상적인 보안 제품처럼 등록되는 것을 확인할 수 있으며, Windows 방화벽을 OFF 하는 등 시스템 변경을 수행합니다.

[생성 파일 등록 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\4hmeq.dll
 - MD5 : 231b442190fce7a7cc5a1d9d443d6a4a
 - AhnLab V3 : Trojan/Win32.FakeAlert (VirusTotal : 13/42)
※ 해당 파일은 (Random 5자리 숫자+영문).dll 유형입니다.

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\qav.exe
 - MD5 : dcbd2b1ff45ed36c7fb9459a6b3e4fa7
 - Microsoft : Rogue:Win32/FakeRean (VirusTotal : 13/42)
※ 해당 파일은 (Random 3자리 영문).exe 유형입니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\exefile
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - 1379992046 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\qav.exe

생성된 (Random 3자리 영문).exe 파일은 시작 프로그램으로 등록되어 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.

실행된 XP Antivirus 2012 프로그램은 사용자 PC를 검사하여 마치 악성코드에 감염된 것처럼 허위 진단을 하는 것을 확인할 수 있습니다.

허위 진단을 통하여 유료 결제를 유도하는 창을 주기적으로 생성하도록 구성되어 있습니다.

실제 연결되는 사이트는 미국(USA)에 등록된 곳으로 신용카드를 통한 결제 방식을 취하고 있습니다.(※ 이런 사이트에 금융 정보를 함부로 입력시 정보가 악용될 수 있으므로 주의하시기 바랍니다.)

그 외에도 시스템 트레이 상에 위치한 XP Antivirus 2012 아이콘에서는 주기적으로 풍선창을 통하여 위협적인 허위 정보를 노출하는 동작이 있습니다.

특히 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 XP Antivirus 2012 Firewall Alert 진단창을 생성하여 웹 브라우저가 Trojan-BNK.Win32.Keylogger.gen 악성코드에 감염되었다는 허위 정보를 노출합니다.

특히 웹 브라우저 실행을 방해하여 인터넷을 이용하지 못하게 하여 자신들에 대한 정보를 검색하지 못하게 합니다.

또한 각종 프로그램을 실행할 경우 연결 프로그램 창이 생성되어 프로그램 실행을 방해하는 동작이 이루어지고 있습니다. 특히 해당 동작은 XP Antivirus 2012를 삭제하여도 발생하므로 사용자가 수동으로 추가적인 수정을 해야합니다.

그러므로 XP Antivirus 2012 가짜 백신에 감염된 경우에는 기본적으로 윈도우 탐색기와 작업 관리자는 정상적으로 동작하는 것을 확인하였으므로 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바랍니다.(※ 일부 환경에서는 더욱 제한적인 프로그램 사용만이 가능할 수 있습니다.)

1. (Random 3자리 영문).exe 프로세스 종료 및 파일 삭제

작업 관리자에서 (Random 3자리 영문).exe 프로세스를 찾아 수동으로 종료를 합니다.(※ 작업 관리자 실행이 되지 않을 경우에는 C:\WINDOWS\system32\taskmgr.exe 파일을 taskmgr.com으로 변경을 하시고 변경된 파일을 실행하시기 바랍니다. 참고로 윈도우 파일 보호(WFP) 기능으로 taskmgr.exe 파일이 복원되므로 참고하시기 바랍니다.)

윈도우 탐색기를 통하여 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\(Random 3자리 영문).exe] 파일을 찾아 삭제하시기 바랍니다.

2. (Random 5자리 숫자+영문).dll 파일 삭제

[C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\(Random 5자리 숫자+영문).dll] 파일의 속성은 시스템(S), 숨김(H) 속성을 가지고 있으므로 Windows 기본값으로 설정된 경우 보이지 않습니다.

그러므로 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목의 체크 해제와 [숨김 파일 및 폴더 표시] 항목을 선택하여 파일을 찾으시기 바랍니다.

(Random 5자리 숫자+영문).dll 파일을 삭제를 하려고 할 경우 삭제되지 않는 이유는 해당 파일이 iexplore.exe 프로세스를 핸들(Handle)하고 있으므로, 반드시 작업 관리자에서 iexplore.exe 프로세스를 추가로 종료한 후 파일을 삭제하시기 바랍니다.

3. 생성 레지스트리 삭제

파일 삭제 후에도 응용 프로그램 실행시 연결 프로그램 창이 생성되는 방해가 있으므로 다음의 레지스트리를 삭제하시기 바랍니다.(※ 레지스트리 편집기 실행이 되지 않으므로 C:\WINDOWS\regedit.exe 파일을 regedit.com으로 변경하시고 변경된 파일을 실행하시기 바랍니다. 참고로 윈도우 파일 보호(WFP) 기능으로 regedit.exe 파일이 복원되므로 참고하시기 바랍니다.)
  • HKEY_CURRENT_USER\Software\Classes\.exe
  • HKEY_CURRENT_USER\Software\Classes\exefile

해당 레지스트리 값을 삭제한 후에는 정상적으로 프로그램 실행이 가능합니다.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
     - 1379992046 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\qav.exe

추가적으로 시작 프로그램으로 등록된 해당 레지스트리 값을 삭제하시기 바랍니다.

4. Windows 보안 센터 복구

해당 XP Antivirus 2012 가짜 백신은 Windows 보안 센터를 비정상적으로 수정을 하여 삭제 후에도 이용에 문제가 발생하고 있습니다. 특히 Windows 자동 업데이트 기능과 관련된 레지스트리 삭제가 이루어집니다.(※ 방화벽, 바이러스 백신은 사용자가 [권장 사항] 버튼을 클릭하여 정상적으로 변경하실 수 있습니다.)

[삭제된 Windows 업데이트 레지스트리 정보]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WUAUSERV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUAUSERV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

그러므로 실행창에 [regsvr32 wuaueng.dll] 명령어를 입력하여 중지된 Windows 자동 업데이트를 다시 사용할 수 있습니다.

5. 변경된 레지스트리 값 수정

[변경 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
 - (기본값) = %SystemRoot%\System32\cscui.dll :: 변경 전
 - (기본값) = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\4hmeq.dll :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\
open\
command
 - (기본값) = C:\Program Files\Internet Explorer\iexplore.exe :: 변경 전
 - (기본값) = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\qav.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe" :: 변경 후

마지막으로 일부 변경된 레지스트리 값을 찾아서 [변경 전] 값으로 수정을 하시기 바랍니다.

해외에서 제작된 가짜 백신은 감염시 시스템 설정 값을 변경하며, 정상적인 PC 사용을 불가능하게 하는 경향이 매우 강하므로 주의하시기 바라며, 특히 불법 파일을 다운로드하여 보안 제품에서 진단하지만 크랙 파일은 당연히 진단한다는 잘못된 보안 인식으로 실행하는 경우가 많으므로 국내에서도 감염이 일어나는 것으로 추정됩니다.