국내에서 제작된 가짜 백신(불량 백신)은 자동 연장 방식의 유료 결제를 통한 금전적 피해만을 유발하는데 비하여, 해외에서 제작된 가짜 백신(FakeAV)은 국내 인터넷 사용자에게는 시스템에 치명적인 문제를 유발할 수 있습니다.
결과론적으로는 금전적 피해를 유발하는 국내 가짜 백신(불량 백신)을 쉽게 접할 수 있으며 체감적으로도 나쁘지만, 해외에서 제작된 가짜 백신 역시 일부 국내에서도 감염으로 인해 고통을 유발하는 것으로 보입니다.
▷ 해외 가짜 백신 : Security Shield (2011.5.4)
▷ 해외 가짜 백신 : Windows Clear Problems (2011.6.22)
▷ 해외 가짜 백신 : XP Home Security 2012 (2011.6.23)
▷ 해외 가짜 백신 : XP Antivirus 2012 (2011.7.2)
▷ 해외 가짜 백신 : OpenCloud Security (2011.9.26)
▷ 해외 가짜 백신 : Kaspersky Internet Security 2010 (2011.12.7)
예전에 해외 가짜 백신의 다양한 변종에 대해 살펴보았으며, 이들의 공통적인 특징 중의 하나는 유료 결제를 하기 전까지는 자신을 제외한 대부분의 정상적인 프로그램을 사용할 수 없도록 한다는 점에서 매우 불편을 유발하고 있으므로 참고하시기 바랍니다.
이번에는 최근 사용자가 악의적으로 조작된 웹 사이트를 방문할 경우 Windows, Oracle JRE, Adobe Flash Player, Adobe Reader 등의 보안 취약점을 이용하여 패치가 이루어지지 않은 시스템에서 자동으로 감염을 유발하는 방식으로 "Live Security Platinum" 가짜 백신을 설치하여 피해를 주는 행위와 수동으로 해결할 수 있는 방법을 살펴보도록 하겠습니다.
테스트에 사용된 설치 파일(MD5 : 562f3995defe99e4d94c3825f69e0ac4)에 대하여 Kaspersky 보안 제품에서는 Trojan-FakeAV.Win32.SmartFortress2012.bln (VirusTotal : 13/42) 진단명으로 진단됩니다.
최초 취약점을 통해 인터넷 임시 폴더에 다운로드된 최종 파일은 일정 시간이 경과하면 "C:\Documents and Settings\All Users\Application Data\(임의의 영문+숫자 폴더)"에 자신을 생성하여 다음과 같은 다양한 동작을 합니다.
시스템 트레이 알림 아이콘 영역에 붉은색 방패 모양과 Live Security Platinum 프로그램 아이콘을 추가로 생성하며, 현재 동작 중인 모든 응용 프로그램을 일괄적으로 종료하여 사용할 수 없도록 합니다.
그 후 Live Security Platinum 프로그램을 실행하여 자동으로 악성코드 검사를 진행하여, 존재하지 않는 허위 진단을 통해 마치 사용자 PC가 악성코드에 감염된 것으로 속이는 동작을 확인할 수 있습니다.
검사가 완료되면 경고창을 통해 다양한 위협 요소가 발견되었으므로 보호를 위해 결제를 유도하는 동작을 확인할 수 있습니다.
Live Security Platinum 가짜 백신의 경우 1년, 2년, 평생 라이센스 가격으로 분류되어 있으며, 신용 카드를 통해 유료(EUR) 또는 달러($)로 결제를 하도록 제작되어 있습니다.
만약 감염된 환경에서 인터넷을 이용하여 웹 사이트 접속을 시도할 경우 그림과 같은 경고창을 통해 감염된 웹 사이트로 접속을 시도하여 차단하였다며 결제를 유도하고 있습니다.
그 외에도 다양한 경고 메시지를 통해 감염 이후에는 Live Security Platinum 가짜 백신 이외에는 PC를 사용할 수 없도록 철저하게 방해하는 동작을 확인할 수 있습니다.
이런 감염 환경에서 사용자가 이용하는 백신 프로그램을 통해 진단 및 치료를 할 수 없을 경우 수동으로 임시 조치를 할 수 있는 방법은 다음과 같습니다.
가장 먼저 Live Security Platinum 가짜 백신이 방해하지 않는 프로그램을 찾으시기 바라며, 일반적으로 Internet Explorer 웹 브라우저 또는 윈도우 탐색기의 경우 실행시 그림과 같이 동작하는 것을 확인할 수 있습니다.
여기에서 IE 웹 브라우저(iexplore.exe)와 윈도우 탐색기(explorer.exe)의 실행 파일명은 기억하시는 것이 중요합니다.
그 이후 현재 동작하는 Live Security Platinum 가짜 백신을 우선적으로 종료하기 위하여 Windows 작업 관리자를 실행할 필요가 있으므로 다음과 같은 방식을 사용하시기 바랍니다.
Windows 작업 관리자는 "C:\WINDOWS\system32\taskmgr.exe" 파일로 위치하고 있으므로, 윈도우 탐색기를 실행하여 해당 파일을 찾아서 "taskmgr.exe → iexplore.exe 또는 explorer.exe" 파일명으로 변경하시기 바랍니다.
Windows XP 운영 체제 환경을 기준으로 파일명을 변경할 경우 윈도우 파일 보호(WFP) 기능을 통해 자동으로 이름이 변경된 taskmgr.exe 파일은 복원이 됩니다.
파일명을 변경한 Windows 작업 관리자 파일을 실행하면 그림과 같이 정상적으로 방해를 받지 않고 동작하는 모습을 확인할 수 있으며, 현재 동작하는 프로세스 목록 중 "(임의의 영문+숫자).exe" 형태로 등록된 Live Security Platinum 가짜 백신 프로세스를 찾아 종료하시면 됩니다.
그 이후 모든 응용 프로그램이 정상적으로 동작하므로 생성 폴더(파일), 레지스트리 정보를 참고하여 하나씩 찾아 제거를 하시면 됩니다.
[생성 폴더 / 파일 등록 정보 : ※ 해당 폴더(파일)명은 랜덤(Random)하게 생성됩니다.]
C:\Documents and Settings\(사용자 계정)\바탕 화면\Live Security Platinum.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Live Security Platinum
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Live Security Platinum\Live Security Platinum Support Site.url
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Live Security Platinum\Live Security Platinum.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Live Security Platinum\Uninstall.lnk
C:\Documents and Settings\All Users\Application Data\036DFF7D2B17D9798B4E35187B07D287
C:\Documents and Settings\All Users\Application Data\036DFF7D2B17D9798B4E35187B07D287\036DFF7D2B17D9798B4E35187B07D287.exe
- MD5 : 562f3995defe99e4d94c3825f69e0ac4
- AhnLab V3 : Trojan/Win32.Zbot (VirusTotal : 13/42)
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Installer\Products\
036DFFC52B17D9C18B4E35607B07D2CF
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- 036DFF7D2B17D9798B4E35187B07D287 = C:\Documents and Settings\All Users\Application Data\036DFF7D2B17D9798B4E35187B07D287\036DFF7D2B17D9798B4E35187B07D287.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum
C:\Documents and Settings\All Users\Application Data\036DFF7D2B17D9798B4E35187B07D287\036DFF7D2B17D9798B4E35187B07D287.ico
참고로 Live Security Platinum 가짜 백신의 경우 마치 정상적인 보안 프로그램의 모습을 갖추기 위해 바탕 화면 및 프로그램 목록에 바로가기 아이콘을 등록하고 있으며, 제어판에도 등록되어 있는 모습을 볼 수 있습니다.
또 다른 해결 방법으로 Live Security Platinum 가짜 백신을 크랙(Crack)하여 하드 코딩된 등록 번호를 추출하여 입력하는 방식으로 프로그램을 완전히 정상적인 프로그램으로 변경할 수 있습니다.
해외 가짜 백신의 특징 중의 하나는 유료 결제를 통한 등록을 할 경우 결제 이전에 보이던 응용 프로그램 실행 방해 및 허위 진단이 모두 사라진다는 특징이 있습니다.
이런 부분을 역이용하여 추출된 시리얼 번호를 "Registration" 버튼을 클릭하여 생성된 등록창에 "AA39754E-715219CE" 시리얼 번호를 입력한 후 "Activate" 버튼을 클릭하시기 바랍니다.
그럴 경우 그림과 같이 정상적으로 제품 등록이 이루어졌다는 메시지가 나오며 악의적인 동작이 사라집니다.
그 후에는 Live Security Platinum 가짜 백신이 생성한 파일과 레지스트리 정보를 찾아 제거를 하시면 모든 문제가 사라집니다.
해외 가짜 백신의 경우에도 스팸 메일, 변조된 웹 사이트 등을 통해 유포가 활발하게 이루어지고 있으므로 반드시 윈도우를 비롯한 사용자 PC에 설치된 응용 프로그램을 최신 버전으로 업데이트하시고 사용하시는 습관을 가지시기 바랍니다.