반응형
한국어를 지원하는 외국 허위백신이 나와서 사용자들의 주의가 필요할 듯 하다.
일반적으로 외국 허위백신은 영어로 나와있기때문에 사용자가 허위백신이라는 인지가 편하였는데,
이제 그런 것도 없어져 버렸다 ㅡ.ㅡ;
(그림 1. Windows 자동업데이 창으로 위장하여 설치한다.)
(그림 2. 파일이 실행되면 방화벽 및 바이러스 백신 관리프로그램을 사용안함으로 수정한다.)
(그림 3. 정상적인 파일을 악성파일로 탐지하여 사용자에게 보여준다.)
(그림 4. 검사가 끝나면 삭제를 위해서 등록을 유도한다)
(그림 5. 결국은 돈내고 사란다 ㅋㅋ)
- 파일 정보
C:\Documents and Settings\USER Name\Local Settings\Application Data\av.exe
- 레지스트리 정보(레지스트리는 삭제 하면 안되며, 예전데이터로 복구해야한다)
1) HKEY_CLASSES_ROOT\.exe
"기본값" = "secfile"
복구값 : secfile을 exefile로 수정한다.
2) HKEY_CLASSES_ROOT\.exe\shell\open\command
"기본값" = ""C:\Documents and Settings\XP\Local Settings\Application Data\av.exe" /START "%1" %*"
복구방법 : 기본값 밑에 IsolatedCommand 값에 있는 "%1" %* 값을 기본값에 넣어준다.
3) HKEY_CLASSES_ROOT\secfile\shell\open\command
"기본값" = ""C:\Documents and Settings\XP\Local Settings\Application Data\av.exe" /START "%1" %*"
복구방법 : 기본값 밑에 IsolatedCommand 값에 있는 "%1" %* 값을 기본값에 넣어준다.
- 추가적으로 확인 된 사항
이 악성파일은 OS체크를 통해 프로그램의 이름을 수정한다.
현재까지 확인 된 사항은 다음과 같다. 계속 분석 중....
1) (OS명) Internet Security
2) Antivirus (OS명) 2010
3) (OS명) Internet Security 2010
'IT 보안소식' 카테고리의 다른 글
알약, Bredolab Worm 악성코드 주의 (4) | 2010.02.12 |
---|---|
2009 심파일 어워드 발표 (2) | 2010.02.11 |
Apple iPhone, 전용 이어폰 색감이 죽이네!! (2) | 2010.02.09 |
안철수연구소(Ahnlab), 클라우드 개념 디도스 공격 방어 기술 특허 획득 (1) | 2010.02.09 |
주말을 노린 국내사이트 변조 (0) | 2010.02.08 |
댓글