특히 최근에는 해킹을 통해 정상적인 프로그램 파일이 가짜 백신 설치 파일로 교체되는 사례도 있었습니다.
이번 사례에서는 Gbot Worm 바이러스에 감염된 PC에서 추가적인 다운로드를 통해 OpenCloud Security 가짜 백신을 설치하여 사용자 PC 사용을 극도로 방해하는 동작에 대해 살펴보도록 하겠습니다.
참고로 테스트에서 사용된 설치 파일(MD5 : 3d1eb09b790e5b6bfbfd9bd410f7f88b)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Worm/Win32.Gbot (VirusTotal : 10/44) 진단명으로 진단되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Application Data\OpenCloud Security
C:\Documents and Settings\(사용자 계정)\Application Data\OpenCloud Security\ldr.ini
C:\Documents and Settings\(사용자 계정)\Application Data\OpenCloud Security\OpenCloud Security.exe
C:\Documents and Settings\(사용자 계정)\Application Data\OpenCloud Security\OpenCloud Security.ico
C:\Documents and Settings\(사용자 계정)\Application Data\OpenCloud Security\sysl32.dll
C:\Documents and Settings\(사용자 계정)\바탕 화면\OpenCloud Security.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\OpenCloud Security
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\OpenCloud Security\OpenCloud Security.lnk
※ C:\Documents and Settings\(사용자 계정)\Application Data\OpenCloud Security\OpenCloud Security.exe
- MD5 : 3d1eb09b790e5b6bfbfd9bd410f7f88b
- Kaspersky : Trojan.Win32.FakeAV.ihog (VirusTotal : 10/44)
※ C:\Documents and Settings\(사용자 계정)\Application Data\OpenCloud Security\sysl32.dll
- MD5 : 08e4ab4b7d177c64cc92781ae3696a01
- AhnLab V3 : Trojan/Win32.BHO (VirusTotal : 19/44)
감염된 환경에서는 그림과 같이 OpenCloud Security 프로그램이 실행되어 허위 진단을 하는 동작을 확인할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- OpenCloud Security = C:\Documents and Settings\(사용자 계정)\Application Data\OpenCloud Security\OpenCloud Security.exe
또한 시작 프로그램으로 자신을 등록하여 시스템 시작시마다 자동으로 OpenCloud Security 프로그램을 실행하도록 구성되어 있습니다.
실행한 프로그램은 다양한 경고창을 통하여 수시로 사용자가 정상적인 PC 사용에 방해를 하는 동작을 진행하는 것을 확인할 수 있습니다.
- Windows 탐색기(explorer.exe) 실행 가능
- Internet Explorer 웹 브라우저 실행 가능(단, 인터넷 사이트에서 파일 다운로드 방해)
- Windows 작업 관리자 등 exe 실행 파일 차단
OpenCloud Security 가짜 백신은 크게 위와 같은 동작을 통하여 자신의 동작에 필요한 요소는 실행 가능하게 하는 반면 다른 기능은 차단하거나 방해를 하는 것을 확인할 수 있습니다.
특히 사용자 PC에 설치된 응용 프로그램(exe 실행 파일)을 실행할 경우 시스템 트레이 상에 마치 감염되어 실행되지 않는 것처럼 알리며 프로그램 실행을 차단하는 것을 확인할 수 있습니다.
OpenCloud Security 가짜 백신은 $52.95 결제를 유도하고 있으며, 실제 결제를 하게되면 다음과 같은 정상적인 프로그램처럼 변하는 모습을 확인할 수 있습니다.
즉, 결제를 하여 인증을 받을 경우 [C:\Documents and Settings\(사용자 계정)\Application Data\OpenCloud Security\sysl32.dll] 파일을 삭제 처리하여 더 이상의 경고창, 허위 진단, 응용 프로그램 실행 방해를 하지 않는 모습을 보실 수 있습니다.
이런 OpenCloud Security 가짜 백신을 처리할 수 있는 방법은 2가지가 있으므로 참고하여 문제를 해결하시기 바랍니다.
1. 인증하기
OpenCloud Security 가짜 백신이 생성하는 Software activation 공란에 [DB038748-B4659586-4A1071AF-32E768CD-36005B1B-F4520642-3000BF2A-04FC910B] 등록번호를 직접 입력하여 인증을 하시기 바랍니다.(※ 실제 감염된 상태에서 웹 브라우저를 통한 인터넷이 가능하므로 사용 가능한 방법입니다.)
그러면 자동으로 악의적인 동작이 제거되고 사용자는 생성 파일, 레지스트리 정보를 참고하여 수동으로 프로그램을 삭제하실 수 있습니다.
2. 수동으로 해결하기
OpenCloud Security 가짜 백신이 실행된 상태에서 Windows 탐색기를 실행하여 [C:\Documents and Settings\(사용자 계정)\Application Data\OpenCloud Security\OpenCloud Security.exe] 파일의 확장자명을 변경합니다.(※예시 : OpenCloud Security.exe → OpenCloud Security.exe-)
파일 확장자명을 변경한 후에는 반드시 시스템 재부팅을 진행하여 생성된 파일, 레지스트리를 수동으로 삭제하시기 바랍니다.
모든 작업이 완료된 후에는 추가적으로 보안 제품을 통해 정밀 검사를 하시기 바라며, Windows 보안 업데이트를 비롯한 사용자 PC에 설치된 각종 응용 프로그램의 최신 버전을 체크하여 업데이트를 하시기 바랍니다.
특히 OpenCloud Security 가짜 백신은 Worm 바이러스 등과 같은 악성코드에 감염되어 추가적으로 설치되는 사례가 있으므로 임시적으로 가짜 백신은 삭제하였을지 몰라도 추가적인 악성 파일이 존재할 수 있으므로 보안 제품을 통해 점검이 필요할 것으로 판단됩니다.