본문 바로가기

벌새::Analysis

해외 가짜 백신 : XP Antivirus 2012

해외 사이트 등에서 크랙(Crack), 키젠(Keygen) 등 불법 파일을 실행하거나 악성 인터넷 사이트 접속시 취약점을 이용한 감염을 통하여 설치가 이루어지는 것으로 알려진 해외 가짜 백신(FakeAV) XP Antivirus 2012에 대하여 살펴보도록 하겠습니다.(※ 해당 이름은 사용자 운영체제에 따라 이름이 변경될 수 있습니다.)
 

XP Antivirus 2012와 유사한 다양한 이름의 가짜 백신들이 존재하므로 기존 정보를 참고하시기 바랍니다.

 

XP Antivirus 2012 설치 파일(MD5 : dcbd2b1ff45ed36c7fb9459a6b3e4fa7)을 통해 감염이 이루어지면 Windows 보안 센터를 변경하여 XP Antivirus 2012 프로그램이 정상적인 보안 제품처럼 등록되는 것을 확인할 수 있으며, Windows 방화벽을 OFF 하는 등 시스템 변경을 수행합니다.

[생성 파일 등록 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\4hmeq.dll
 - MD5 : 231b442190fce7a7cc5a1d9d443d6a4a
 - AhnLab V3 : Trojan/Win32.FakeAlert (VirusTotal : 13/42)
※ 해당 파일은 (Random 5자리 숫자+영문).dll 유형입니다.

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\qav.exe
 - MD5 : dcbd2b1ff45ed36c7fb9459a6b3e4fa7
 - Microsoft : Rogue:Win32/FakeRean (VirusTotal : 13/42)
※ 해당 파일은 (Random 3자리 영문).exe 유형입니다.

 

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\exefile
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - 1379992046 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\qav.exe


생성된 (Random 3자리 영문).exe 파일은 시작 프로그램으로 등록되어 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.

 

실행된 XP Antivirus 2012 프로그램은 사용자 PC를 검사하여 마치 악성코드에 감염된 것처럼 허위 진단을 하는 것을 확인할 수 있습니다.

 

 

허위 진단을 통하여 유료 결제를 유도하는 창을 주기적으로 생성하도록 구성되어 있습니다.

 

실제 연결되는 사이트는 미국(USA)에 등록된 곳으로 신용카드를 통한 결제 방식을 취하고 있습니다.(※ 이런 사이트에 금융 정보를 함부로 입력시 정보가 악용될 수 있으므로 주의하시기 바랍니다.)

 

그 외에도 시스템 트레이 상에 위치한 XP Antivirus 2012 아이콘에서는 주기적으로 풍선창을 통하여 위협적인 허위 정보를 노출하는 동작이 있습니다.

 

특히 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 XP Antivirus 2012 Firewall Alert 진단창을 생성하여 웹 브라우저가 Trojan-BNK.Win32.Keylogger.gen 악성코드에 감염되었다는 허위 정보를 노출합니다.

 

특히 웹 브라우저 실행을 방해하여 인터넷을 이용하지 못하게 하여 자신들에 대한 정보를 검색하지 못하게 합니다.

 

또한 각종 프로그램을 실행할 경우 연결 프로그램 창이 생성되어 프로그램 실행을 방해하는 동작이 이루어지고 있습니다. 특히 해당 동작은 XP Antivirus 2012를 삭제하여도 발생하므로 사용자가 수동으로 추가적인 수정을 해야합니다.

그러므로 XP Antivirus 2012 가짜 백신에 감염된 경우에는 기본적으로 윈도우 탐색기와 작업 관리자는 정상적으로 동작하는 것을 확인하였으므로 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바랍니다.(※ 일부 환경에서는 더욱 제한적인 프로그램 사용만이 가능할 수 있습니다.)

1. (Random 3자리 영문).exe 프로세스 종료 및 파일 삭제

 

작업 관리자에서 (Random 3자리 영문).exe 프로세스를 찾아 수동으로 종료를 합니다.(※ 작업 관리자 실행이 되지 않을 경우에는 C:\WINDOWS\system32\taskmgr.exe 파일을 taskmgr.com으로 변경을 하시고 변경된 파일을 실행하시기 바랍니다. 참고로 윈도우 파일 보호(WFP) 기능으로 taskmgr.exe 파일이 복원되므로 참고하시기 바랍니다.)

 

윈도우 탐색기를 통하여 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\(Random 3자리 영문).exe] 파일을 찾아 삭제하시기 바랍니다.

2. (Random 5자리 숫자+영문).dll 파일 삭제

 

[C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\(Random 5자리 숫자+영문).dll] 파일의 속성은 시스템(S), 숨김(H) 속성을 가지고 있으므로 Windows 기본값으로 설정된 경우 보이지 않습니다.

 

그러므로 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목의 체크 해제와 [숨김 파일 및 폴더 표시] 항목을 선택하여 파일을 찾으시기 바랍니다.

 

(Random 5자리 숫자+영문).dll 파일을 삭제를 하려고 할 경우 삭제되지 않는 이유는 해당 파일이 iexplore.exe 프로세스를 핸들(Handle)하고 있으므로, 반드시 작업 관리자에서 iexplore.exe 프로세스를 추가로 종료한 후 파일을 삭제하시기 바랍니다.

3. 생성 레지스트리 삭제

파일 삭제 후에도 응용 프로그램 실행시 연결 프로그램 창이 생성되는 방해가 있으므로 다음의 레지스트리를 삭제하시기 바랍니다.(※ 레지스트리 편집기 실행이 되지 않으므로 C:\WINDOWS\regedit.exe 파일을 regedit.com으로 변경하시고 변경된 파일을 실행하시기 바랍니다. 참고로 윈도우 파일 보호(WFP) 기능으로 regedit.exe 파일이 복원되므로 참고하시기 바랍니다.)

 

  • HKEY_CURRENT_USER\Software\Classes\.exe
  • HKEY_CURRENT_USER\Software\Classes\exefile

해당 레지스트리 값을 삭제한 후에는 정상적으로 프로그램 실행이 가능합니다.

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
     - 1379992046 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\qav.exe

추가적으로 시작 프로그램으로 등록된 해당 레지스트리 값을 삭제하시기 바랍니다.

4. Windows 보안 센터 복구

해당 XP Antivirus 2012 가짜 백신은 Windows 보안 센터를 비정상적으로 수정을 하여 삭제 후에도 이용에 문제가 발생하고 있습니다. 특히 Windows 자동 업데이트 기능과 관련된 레지스트리 삭제가 이루어집니다.(※ 방화벽, 바이러스 백신은 사용자가 [권장 사항] 버튼을 클릭하여 정상적으로 변경하실 수 있습니다.)

[삭제된 Windows 업데이트 레지스트리 정보]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WUAUSERV
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WUAUSERV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

그러므로 실행창에 [regsvr32 wuaueng.dll] 명령어를 입력하여 중지된 Windows 자동 업데이트를 다시 사용할 수 있습니다.

5. 변경된 레지스트리 값 수정

[변경 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}
 - (기본값) = %SystemRoot%\System32\cscui.dll :: 변경 전
 - (기본값) = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\4hmeq.dll :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\
open\
command

 - (기본값) = C:\Program Files\Internet Explorer\iexplore.exe :: 변경 전
 - (기본값) = "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\qav.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe" :: 변경 후


마지막으로 일부 변경된 레지스트리 값을 찾아서 [변경 전] 값으로 수정을 하시기 바랍니다.

해외에서 제작된 가짜 백신은 감염시 시스템 설정 값을 변경하며, 정상적인 PC 사용을 불가능하게 하는 경향이 매우 강하므로 주의하시기 바라며, 특히 불법 파일을 다운로드하여 보안 제품에서 진단하지만 크랙 파일은 당연히 진단한다는 잘못된 보안 인식으로 실행하는 경우가 많으므로 국내에서도 감염이 일어나는 것으로 추정됩니다.

  • 사이비 백신이 판치는 바람에 제거 프로그램도 있더군요.
    보통 사이비 백신 설치되면 제거가 어려워서~~
    그 프로그램이 바로

    Remove Fake Antivirus

    이번에 버전되었지만 이전버전도 나쁘지 않으니~~

    신버전 나중에 적도록 하고 구 버전 트랙백합니다.

    가능하면 공개된 것 사용하고 제일 만만한 놈으로 마소에서 마소 같이 만든 것은 아니지만 MSE나 세번 이신다는 V3 사용하세요.

    - 월정 -

  • 다시 다 적었습니다.
    1.76이내요.
    다시 날려 보냅니다.

    - 월정 -

  • 무분별하게 컴퓨터 하는 분들이 많이 깔게되는 그런 프로그램이군요;

  • 옛날에도 있었는데 이런것들도 버전업을 하네요;;;;;;

  • ㅇㅇ 2011.07.24 15:29 댓글주소 수정/삭제 댓글쓰기

    2번의dll파일을 못찾겠어요

  • 쏘가리 2011.08.16 20:31 댓글주소 수정/삭제 댓글쓰기

    제가 잘 몰라서 그러는데요 폴더옵션에서 설정값을 어떻게 변경하나요

  • 쏘가리 2011.08.16 23:51 댓글주소 수정/삭제 댓글쓰기

    벌새님 빠른답변 너무 감사드립니다.
    한가지만 더 물어볼께요
    "윈도우 탐색기를 통하여 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\(Random 3자리 영문).exe] 파일을 찾아 삭제하시기 바랍니다"
    여기서 사용자 계정이란 무엇을 뜻하는건지요?ㅠㅠ
    집에 컴퓨터가 안되어서 정확하게 알아서 가야하기때문에 이렇게 물어봅니다.
    너무 몰라서 죄송합니다.....ㅠㅠ

  • 이효철 2011.08.17 10:11 댓글주소 수정/삭제 댓글쓰기

    바이러스는 지워진거같은데 인터넷이안돼요 수돈느로 하라고 적어노신건 보았으나 방법을 ㅠㅠ

    • 인터넷이 안되는 문제는 아마 레지스트리 수정으로 인해 프로그램 동작이 안되거나 아직 삭제가 제대로 되지 않은 문제로 보입니다.

      수동 해결 방법을 참고하시기 바라며, 지면상 더 자세히는 설명하기 어렵습니다.

  • 쏘가리 2011.08.18 09:18 댓글주소 수정/삭제 댓글쓰기

    벌새님 위에 글을 따라 똑같이 따라하니 인터넷이 정상적으로 작동합니다.
    그런데 윈도우작업관리자 프로세스에 보니 alg.exe 와 또 하나???.exe 가 있던데
    상관이 없는건가요?
    하여튼 벌새님 너무 고맙네요 포멧을 할까도 생각을 했는데 위와 똑같이 따라하니 인터넷도 되고 연결프로그램이 나와서도 똑같이 하니 되었네요
    하여튼 고맙습니다.

  • nakcnk 2012.02.11 22:55 댓글주소 수정/삭제 댓글쓰기

    저야 유명한 백신들을 무료로 정상적인 방법으로 다운설치하니까 가짜백신에 당할일이없겟지만서도....무섭네욤 ㅡㅡ^
    역시 크랙과 키젠은 역시나 무서운 존재파일들 ㅉㅉㅉ~
    되도록이면 정상적인 경로로 백신을 다운받고 유료제품일 경우에는 가능한 시리얼이나 nfo를 통해서 키알아내어 설치하는게 쵝오의 방법!!