한국어를 지원하는 외국 허위백신 "XP Internet Security" 주의

한국어를 지원하는 외국 허위백신이 나와서 사용자들의 주의가 필요할 듯 하다.

일반적으로 외국 허위백신은 영어로 나와있기때문에 사용자가 허위백신이라는 인지가 편하였는데,

이제 그런 것도 없어져 버렸다 ㅡ.ㅡ;

(그림 1. Windows 자동업데이 창으로 위장하여 설치한다.)

(그림 2. 파일이 실행되면 방화벽 및 바이러스 백신 관리프로그램을 사용안함으로 수정한다.)

(그림 3. 정상적인 파일을 악성파일로 탐지하여 사용자에게 보여준다.)

(그림 4. 검사가 끝나면 삭제를 위해서 등록을 유도한다)

(그림 5. 결국은 돈내고 사란다 ㅋㅋ)

- 파일 정보

C:\Documents and Settings\USER Name\Local Settings\Application Data\av.exe

- 레지스트리 정보(레지스트리는 삭제 하면 안되며, 예전데이터로 복구해야한다)

1) HKEY_CLASSES_ROOT\.exe

"기본값" = "secfile" 

복구값 : secfile을 exefile로 수정한다.

2) HKEY_CLASSES_ROOT\.exe\shell\open\command

"기본값" = ""C:\Documents and Settings\XP\Local Settings\Application Data\av.exe" /START "%1" %*"

복구방법 : 기본값 밑에 IsolatedCommand 값에 있는 "%1" %* 값을 기본값에 넣어준다.

3) HKEY_CLASSES_ROOT\secfile\shell\open\command

"기본값" = ""C:\Documents and Settings\XP\Local Settings\Application Data\av.exe" /START "%1" %*"

복구방법 : 기본값 밑에 IsolatedCommand 값에 있는 "%1" %* 값을 기본값에 넣어준다.

- 추가적으로 확인 된 사항

이 악성파일은 OS체크를 통해 프로그램의 이름을 수정한다.

현재까지 확인 된 사항은 다음과 같다. 계속 분석 중....

1) (OS명) Internet Security

2) Antivirus (OS명) 2010

3) (OS명) Internet Security 2010