정상적인 파일실행을 방해하는 허위백신

허위백신이란, 사용자의 부주의 또는 다른 악성코드 파일로 인하여 시스템에 설치되어 허위로 진단 후 치료를 위해 결제를 유도시키는 대표적인 악성코드이다.

이런 허위백신에 정상적인 파일실행을 방해하는 코드를 추가 한 악성코드가 발견되어 사용자의 주의가 필요하다.

(그림 1,2 Windows Antivirus Pro, Windows Police Pro 실행화면)

(그림 3. 허위 Security Center 팝업창)

(그림 4. 치료를 목적으로 라이센스 구입 팝업창)

V.TRJ.FakeAV.WindowsAntivirusPro는 결제를 유도 할 뿐만 아니라, 자신의 프로그램을 설치 시 시스템폴더에 동작하지 않는 desot.exe 파일을 생성하여 HKEY_CLASSES_ROOT\exefile 레지스트리에 등록시킴으로써 정상적인 exe파일의 동작을 방해한다.

(그림 5. HKEY_CLASSES_ROOT\exefile\shell\open\command 에 등록 된 desot.exe 파일)

감염 된 상태에서 exe를 실행하면 다음과 같은 오류창을 발생시킨다.

보통 exefile에 등록을 시키면, exe를 실행 할 시 악성파일을 동작시키는 목적으로 사용되지만,

이번경우에는 고의적으로 파일을 손상시켜 사용자의 사용을 방해하는것이 목적인지, 아니면 실제로 손상되어 문제가 발생되는지는 현재로서는 알 수 없다.

(그림 6. 정상적인 exe파일 실행 시 보여지는 오류창)

또한 desot.exe를 삭제 한다고 하여 문제가 끝나는 것이 아니다.

레지스트리를 수정 하기 전에는 오류창대신 연결프로그램창이 빈자리를 채워준다;;

(그림 7. desot.exe를 삭제 후 정상적인 exe파일 실행 시 보여지는 연결프로그램창)