1. 서론
금일 Digital Protection / Data Protection 이라는 프로그램명의 허위백신이 많이 발견되어 증상 및 조치가이드를 안내해 드립니다.
2. 감염 시 증상
해당 허위백신이 실행이 되면 아래와 같은 트레이 아이콘이 나타납니다.
[그림1. 감염 시 나타나는 트레이 아이콘]
이때 트레이 아이콘이나 메세지를 클릭하게 되면 아래와 같은 창이 나타납니다. 아래창은 프로그램을 설치하는 과정으로 속이기 위한 창으로 실제로는 허위백신과 관련된 파일을 특정 주소에서 다운로드 하는 과정입니다.
[그림2. 허위백신에 사용되는 파일을 다운로드 하는 화면]
시간이 지나면 아래와 같이 윈도우 보안 센터와 비슷하게 꾸민 창이 나타나며 바탕화면에 성인사이트로 연결하는 아이콘이 생성되기도 합니다.
[그림3. 윈도우 보안센터와 비슷하게 만든 거짓 알림 창]
그리고 아래와 같은 허위 안티바이러스(백신) 프로그램이 실행 됩니다.
[그림4. 허위 안티바이러스(백신) 실행 화면]
3. 조치 방법
현재 V3 제품에서 해당 허위백신을 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.
만약 수동으로 조치를 하고자 하신다면 아래와 같이 진행하시기 바랍니다.
금일 Digital Protection / Data Protection 이라는 프로그램명의 허위백신이 많이 발견되어 증상 및 조치가이드를 안내해 드립니다.
2. 감염 시 증상
해당 허위백신이 실행이 되면 아래와 같은 트레이 아이콘이 나타납니다.
이때 트레이 아이콘이나 메세지를 클릭하게 되면 아래와 같은 창이 나타납니다. 아래창은 프로그램을 설치하는 과정으로 속이기 위한 창으로 실제로는 허위백신과 관련된 파일을 특정 주소에서 다운로드 하는 과정입니다.
시간이 지나면 아래와 같이 윈도우 보안 센터와 비슷하게 꾸민 창이 나타나며 바탕화면에 성인사이트로 연결하는 아이콘이 생성되기도 합니다.
그리고 아래와 같은 허위 안티바이러스(백신) 프로그램이 실행 됩니다.
3. 조치 방법
현재 V3 제품에서 해당 허위백신을 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.
만약 수동으로 조치를 하고자 하신다면 아래와 같이 진행하시기 바랍니다.
1. Ice Sword 툴을 다운로드 합니다.
프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip
2. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로의 파일 및 폴더를 찾아 마우스 오른클릭 후 [Force Delete]를 눌러 파일 및 폴더를 삭제 합니다.
참고 : http://core.ahnlab.com/18
(Windows XP 시스템일 경우)
C:\Documents and Settings\사용자 계정\Local Settings\Temp\asrkn_pfu.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\bootvrfy.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\mscdexnt.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\dmadmin.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\kernel64xp.dll
(Windows Vista 혹은 Windows 7 시스템일 경우)
C:\Users\사용자 계정\Appdata\Local\Temp\asrkn_pfu.exe
C:\Users\사용자 계정\Appdata\Local\Temp\bootvrfy.exe
C:\Users\사용자 계정\Appdata\Local\Temp\mscdexnt.exe
C:\Users\사용자 계정\Appdata\Local\Temp\dmadmin.exe
C:\Users\사용자 계정\Appdata\Local\Temp\kernel64xp.dll
(이하 내용은 모든 Windows가 동일하며 해당 폴더가 없으면 무시하셔도 됩니다.)
C:\Program Files\Digital protection (폴더 전체를 삭제)
C:\Program Files\Data protection (폴더 전체를 삭제)
C:\Windows\pragmavmkoismonw (폴더 전체를 삭제)
3. 시스템을 재부팅을 합니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip
2. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로의 파일 및 폴더를 찾아 마우스 오른클릭 후 [Force Delete]를 눌러 파일 및 폴더를 삭제 합니다.
참고 : http://core.ahnlab.com/18
(Windows XP 시스템일 경우)
C:\Documents and Settings\사용자 계정\Local Settings\Temp\asrkn_pfu.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\bootvrfy.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\mscdexnt.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\dmadmin.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\kernel64xp.dll
(Windows Vista 혹은 Windows 7 시스템일 경우)
C:\Users\사용자 계정\Appdata\Local\Temp\asrkn_pfu.exe
C:\Users\사용자 계정\Appdata\Local\Temp\bootvrfy.exe
C:\Users\사용자 계정\Appdata\Local\Temp\mscdexnt.exe
C:\Users\사용자 계정\Appdata\Local\Temp\dmadmin.exe
C:\Users\사용자 계정\Appdata\Local\Temp\kernel64xp.dll
(이하 내용은 모든 Windows가 동일하며 해당 폴더가 없으면 무시하셔도 됩니다.)
C:\Program Files\Digital protection (폴더 전체를 삭제)
C:\Program Files\Data protection (폴더 전체를 삭제)
C:\Windows\pragmavmkoismonw (폴더 전체를 삭제)
3. 시스템을 재부팅을 합니다.
'악성코드 정보' 카테고리의 다른 글
| [스팸주의] Your transaction has been processed (0) | 2010.05.09 |
|---|---|
| setting for your mailbox *이메일주소* are changed (4) | 2010.05.09 |
| Autoruns 사용법! – Series (3) (6) | 2010.05.04 |
| [악성스팸주의!] Shipping update for your Amazon.com order 254-71546325-658732 (2) | 2010.04.29 |
| Autoruns 사용법! - Series (2) (8) | 2010.04.28 |
댓글