본문 바로가기
IT 보안소식

한국어를 지원하는 외국 허위백신 "XP Internet Security" 주의

by 잡다한 처리 2010. 2. 10.
반응형


한국어를 지원하는 외국 허위백신이 나와서 사용자들의 주의가 필요할 듯 하다.
일반적으로 외국 허위백신은 영어로 나와있기때문에 사용자가 허위백신이라는 인지가 편하였는데,
이제 그런 것도 없어져 버렸다 ㅡ.ㅡ;

(그림 1. Windows 자동업데이 창으로 위장하여 설치한다.)

(그림 2. 파일이 실행되면 방화벽 및 바이러스 백신 관리프로그램을 사용안함으로 수정한다.)

(그림 3. 정상적인 파일을 악성파일로 탐지하여 사용자에게 보여준다.)

(그림 4. 검사가 끝나면 삭제를 위해서 등록을 유도한다)

(그림 5. 결국은 돈내고 사란다 ㅋㅋ)


- 파일 정보
C:\Documents and Settings\USER Name\Local Settings\Application Data\av.exe

- 레지스트리 정보(레지스트리는 삭제 하면 안되며, 예전데이터로 복구해야한다)
1) HKEY_CLASSES_ROOT\.exe
"기본값" = "secfile" 
복구값 : secfile을 exefile로 수정한다.

2) HKEY_CLASSES_ROOT\.exe\shell\open\command
"기본값" = ""C:\Documents and Settings\XP\Local Settings\Application Data\av.exe" /START "%1" %*"
복구방법 : 기본값 밑에 IsolatedCommand 값에 있는 "%1" %* 값을 기본값에 넣어준다.

3) HKEY_CLASSES_ROOT\secfile\shell\open\command
"기본값" = ""C:\Documents and Settings\XP\Local Settings\Application Data\av.exe" /START "%1" %*"
복구방법 : 기본값 밑에 IsolatedCommand 값에 있는 "%1" %* 값을 기본값에 넣어준다.


- 추가적으로 확인 된 사항
이 악성파일은 OS체크를 통해 프로그램의 이름을 수정한다.
현재까지 확인 된 사항은 다음과 같다. 계속 분석 중....
1) (OS명) Internet Security
2) Antivirus (OS명) 2010
3) (OS명) Internet Security 2010







댓글