본문 바로가기

벌새::Security

국내 악성 광고 프로그램의 Windows Defender 기능 중지에 따른 보안 주의 (2016.10.24)

반응형

2016년 1월경부터 국내에서 배포되고 있는 일부 국내 광고 프로그램이 설치될 경우 Windows Defender 보안 제품의 기능을 중지하는 보안 문제에 대해 살펴보도록 하겠습니다.

 

 

Windows Defender 보안 제품은 Windows 7 운영 체제에서는 안티애드웨어(Anti-Adware)와 안티스파이웨어(Anti-Spyware) 기능만을 제공하는 제한적 보안 기능을 제공하는 반면, Windows 8.1과 Windows 10 운영 체제에서는 Microsoft Security Essentials (MSE) 무료 백신 기능을 완전히 대체한 안티바이러스(Anti-Virus) 제품입니다.

 

그런데 Windows 운영 체제에 기본 내장된 Windows Defender 보안 제품으로 인하여 광고 프로그램 설치 및 동작에 영향을 줄 수 있다는 점에서 국내에서 배포되는 광고 프로그램 중 설치 시 Windows Defender 기능을 자동으로 중지하도록 설정하는 사례가 발견되고 있습니다.

 

특히 Windows Defender 보안 제품을 단독으로 사용하는 사용자의 경우 안티바이러스(Anti-Virus) 기능이 중지되었는지 제대로 인지 못하고 장기간 사용함에 따라 다른 악성코드 감염에 쉽게 노출될 수 있는 것으로 파악되고 있습니다.

 

 

대표적으로 Windows Defender 보안 제품의 기능을 방해하는 Windows Application TopsAdon, Windows Application keycast 국내 광고 프로그램은 설치 시 다음과 같은 레지스트리 값을 추가합니다.

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
 - DisableAntiSpyware = 1

추가된 DisableAntiSpyware 레지스트리 값은 Windows Defender 기능을 중지하도록 설정을 변경하며 이 과정에서 어떠한 보안 해제 메시지는 표시되지 않습니다.

 

 

DisableAntiSpyware 레지스트리 값이 추가된 상태에서 Windows 재부팅이 이루어진 후 작업 표시줄 알림 영역에는 정상적인 Windows Defender가 시스템을 보호하고 있다고 표시(C:\Program Files\Windows Defender\MSASCuiL.exe)하고 있지만 Windows Defender 프로그램을 오픈할 경우 "그룹 정책에 의해 이 앱이 꺼져 있습니다."라는 메시지가 표시됩니다.

 

이로 인하여 단순히 Windows Defender 알림 아이콘만을 확인하고 정상적으로 시스템 보호가 이루어지고 있다고 착각할 수 있습니다.

 

 

하지만 실제 Windows Defender 보안 제품은 실시간 보호 기능을 비롯한 마우스 우클릭 수동 검사 기능까지 모두 비활성화된 상태임을 알 수 있습니다.

 

사용자가 Windows Defender 보안 제품 실행을 하는 과정에서 기능이 중지되어 있다는 것을 확인하여 안내 메시지에 따라 그룹 정책에서 Windows Defender 설정값을 확인해보면 모두 기본값 그대로 아무런 변화가 없기에 해당 문제는 해결되지 않습니다.

 

이런 문제를 해결하기 위해서는 "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware" 레지스트리 값을 찾아 직접 삭제해야지 Windows Defender 기능이 정상적으로 동작합니다.

 

 

Windows 7 운영 체제의 경우에도 Windows Defender 보안 제품을 실행할 경우 "그룹 정책에서 이 프로그램을 차단했습니다. 자세한 내용은 시스템 관리자에게 문의하십시오.  [오류 코드: 0x800704ec)" 메시지를 생성하여 Windows Defender 프로그램이 차단되었음을 안내하고 있습니다.

 

이런 일련의 보안 문제를 유발하는 Windows Application TopsAdon, Windows Application keycast 악성 광고 프로그램을 제거하여도 광고 프로그램만을 제거할 뿐 설치로 인해 변경된 Windows Defender 기능을 방해하는 설정은 그대로 유지되므로 악성코드 감염에 무방비로 노출될 수 있습니다.

 

국내 광고 프로그램에 대한 진단 정책은 법적인 문제로 AhnLab V3, 알약(ALYac)과 같은 최대 사용자를 가지고 있는 무료 백신에서 진단되지 않을 수 있으며, 근본적으로 광고 프로그램은 국내외 백신 프로그램에서 진단되지 않을 가능성이 높다는 점에서 사용자가 설치되지 않도록 주의를 기울여야 할 것입니다.

728x90
반응형
  • 세상에 완벽한 백신이 있는지 모르겠어요.
    저도 몇몇 백신을 써봤지만 백신을 무력화 시키는 악성코드도 있더라구요.

  • 쿠용 2017.01.26 15:27 댓글주소 수정/삭제 댓글쓰기

    윈7 64비트 사용자입니다
    Windows Defender가 사용 중지 되었다는 알림과 함께
    '그룹정책에서 이프로그램을...' 하는 오류메세지가 뜨면서
    갑자기 동영상 실행도 안되고 인터넷검색창에 한글타자 변환도 안되고
    컴퓨터 상태가 이상해서 백신돌려봐도 이상이 없이 없고....
    하는 상태에서 이글을보고 실행-regedit 해서
    위 경로로 따라가니 DisableAntiSpyware가 있더군요
    그런데 DisableAntiSpyware삭제를 하고 재부팅을 했는데도 위 증상들이 고쳐 지지않고 그대로네요.
    해결 방법이 없을까요? ㅠㅠ

    • 이 글에서 언급한 부분이 광고 프로그램 외에도 비정품 윈도우나 다른 원인일 가능성도 높아 보입니다. MZK 도구(http://naver.me/5ctaTplR)로 검사해 보시기 바랍니다.

  • 쿠용 2017.01.26 16:09 댓글주소 수정/삭제 댓글쓰기

    댓글로 알려주신 프로그램으로 검사해보니 악성코드가 6개정도
    발견되어 삭제하고 재부팅했는데도 역시 증상해결은 되지 않네요..

    윈도우 재설치를 해야 할까요.. ㅠㅠ

    • 말씀하신 부분으로는 원인을 알 수 없으므로 http://hummingbird.tistory.com/notice/4859 내용을 참고하여 run 파일을 제작하여 메일로 보내주시면 살펴보도록 하겠습니다.

  • 아아아아ㅠ 2017.01.31 10:21 댓글주소 수정/삭제 댓글쓰기

    regedit 에 저 레지스트리가 없다면 mzk로 치료가능할까요? 컴알못이라 죄송합니다 ㅠ 지금 방화벽도 꺼지고 v3 lite 도 꺼지고 미치겠습니다 ㅠ

    • V3 Lite 백신까지 영향을 준다는 것은 이 글에서 언급한 것이 아닌 악성코드 감염으로 보입니다.

      그러므로 MZK 또는 유명 백신 프로그램을 이용하여 검사해 보시기 바랍니다.

      수동 검사툴로는 Kaspersky Virus Removal Tool (https://www.kaspersky.com/downloads/thank-you/free-virus-removal-tool?form=1)을 이용해 보시기 바랍니다.

  • 아아아아ㅠ 2017.02.01 00:02 댓글주소 수정/삭제 댓글쓰기

    kaspersky virus removal tool과 mzk해봤는데 여전히 윈도우 디펜더가 '일부설정은 조직에서 관리합니다.'라고 뜨네요.. kaspersky virus removal tool을하고 mzk했는데 아무것도 없었는데 해결이 안되네요 .. 다른방법이 있을까요? 자꾸 귀찮게해서 죄송합니다 ㅜ (kaspersky virus removal tool 에선 5개가 잡혔으나 제가 이전에 다운받아둔 mzk였습니다 이후 기존 mzk는 삭제하고 다시 다운받아 시행하였습니다.혹시 몰라 로컬그룹정책편집기에 들어가 수정해보려 했으나 gpedit.msc 가 없다고 뜹니다.. 이게 단서가 될가능성은 없겠죠..?ㅜ)

    • 그룹 정책이 없다는 것은 아마도 Pro 버전이 아닌 Home 버전이 아닌가 생각됩니다.

      혹시 윈도우 정품이 아닌 경우에는 윈도우를 외부에서 수정하여 Windows Defender 기능을 임의로 중지시킨게 아닌가도 싶습니다.

  • 아아아아ㅠ 2017.02.01 10:39 댓글주소 수정/삭제 댓글쓰기

    홈버전이라 없는것 같습니다.. 배울게 많네요 ^^; 그럼 mzk 했을때 걸리지 않으면 디펜더랑 v3 Lite 알림창에 꺼져있다고 떠도 괜찮겠죠..? 컴퓨터 고치면 외장하드도 치료해야해서요 산너머산이네요ㅎ 이게 마지막으로 묻는거예요! 죄송해요! ㅠ

    • 실제 V3 Lite 백신 프로그램의 실시간 검사 기능이 OFF(비활성화)되는 문제라면 이 글에서 언급한 레지스트리 추가 방식으로는 발생하지 않고 악성 파일이 설치되어 있을 것으로 보입니다.

      혹시 시간이 되시면 http://hummingbird.tistory.com/notice/4859 내용을 참고하여 run 파일을 만들어서 보내주시면 악성 파일이 존재한지 확인해 드리도록 하겠습니다.

  • 아아아아ㅠ 2017.02.01 23:15 댓글주소 수정/삭제 댓글쓰기

    해보는데 까지해보고 안되면 그때 부탁 드려도 될 까요?? 귀찮게 하는것 같아서 죄송하네요 ^^; 늦었지만 새해복 많이 받으세요~!ㅎㅎ

  • 날씬한곰탱이 2017.05.04 19:41 댓글주소 수정/삭제 댓글쓰기

    자료좀 퍼갈께요 게시글에 출처도 함께 남기도록 하겠습니다.

  • 봉봉 2017.05.09 12:04 댓글주소 수정/삭제 댓글쓰기

    감사합니다
    이글 보구 윈도우 디펜더가 다시 살아났습니다 ㅎㅎ

  • 벌새님에게 2017.05.15 11:51 댓글주소 수정/삭제 댓글쓰기

    레지스트리 편집기를 통해 windows defender 폴더에들어가니깐 Disableantispyware, disableRoutinelyTakingAction, insatlltime, productStatus, 이파일들이 깔려있는데 어떻게 해야하는지 궁금합니다.

    그리고 Disableantispyware 이 파일을 지우려고 삭제를 눌러도 삭제가 안되는데 해결 하는 방법이 있는지 알려주시면 감사드리겠습니다.

    • 일반적으로 삭제가 안되는 경우에는 어떤 실행 중인 파일이 삭제를 방해할 수도 있습니다.

      또한 해당 레지스트리 영역은 기본값에서는 추가적인 등록값이 없어야하는데 내용을 봐서는 윈도우 불법 인증이나 다른 어떤 이유로 추가한게 아닌가도 싶습니다.

      단순히 내용상으로는 원인을 알 수 없을 듯 합니다.

      그리고 해당 값은 그룹 정책(gpedit.msc)을 통해 추가되었을 수 있으므로 그룹 정책의 Windows 구성 요소에서 찾아 수정을 해보는 것도 좋을 듯합니다.

  • 휴 이걸로 저 레지스트리 키 삭제했더니 윈도우즈 디펜더 드디어 작동하네요. topsadon나쁜놈들...;;