결재를 요구하는 허위백신 대처하는 방법 2

가짜백신을 만들어 돈을 많이 벌었나 봅니다.
2009년 1월 부터 AntiVirus 2009 --> System Security 2010 --> Home AntiVirus 2010, 벌써 세 번째 업데이트네요.
돈벌이가 되니 계속 만들어 내고 있는 거겠죠?

사설이 길었습니다. 계속 살펴보도록 하겠습니다.
사용자의 PC에 쓰레기 파일을 임의 생성시키고 그 파일을 다시 찾아 진단치료하는 과정에서 결재를 요구합니다.

설치되는 파일 정보입니다.

hp32_nword.exe (파일명에 차이가 있을 수 있음) : V3 진단명은 Win-Trojan/Reboot.27526
 ① 설치경로 : %system% 폴더 , \Documents and Settings\사용자계정\
 ② 주요 기능 
   - 윈도우즈의 중요 시스템 드라이버인 ntfs.sys 를 변경합니다.
    --> C:\Windows\System32\Drivers\ntfs.sys 를 암호화하여 별도 보관하고 
    --> 변조된 ntfs.sys(Win32/Ntfs)을 설치해서 악성코드를 지속적으로 다운로드/ 실행

   - 메모리상에서 변조된 svchost.exe를 실행 , 개인 정보(FTP 계정 정보등등)를 외부로 유출합니다.

braviax.exe : V3 진단명은 Win-Trojan/Downloader.9216.OJ
① 설치경로 : %system%  및 %windows% 폴더
② 주요 기능 
  - C:\Windows\System32\Braviax.exe, C:\Windows\Braviax.exe 를 사용
    HomeAntiVirus2010설치를 위한 wisdat.exe , wisdstr.exe 다운로드 및 실행
  - 사용자 계정에 cru625.dat 를 만들어 DLL이 실행될 때마다 자동 인젝션(Injection)
   - C:\Windows\System32\Drivers\Beep.sys 를 변경해 백신프로그램의 정상실행을 차단합니다.

wisdat.exe : V3 진단명은 Win-Trojan/Fraudload.184393
① 설치경로 : %system% 폴더,  C:\Program Files\HomeAntivirus2010\HomeAntiVirus2010 install
② 주요 기능 
   - 윈도우즈의 정상적인 sys파일인 ntfs.sys 파일을 암호화하여 별도 보관하고 변조된 ntfs.sys
      (V3진단명: Win32/Ntfs)  파일을 설치하여 지속적으로 Home Antivirus2010 설치를 수행합니다.
   - 그에 따라 수동으로 ntfs.sys 파일을 삭제할 경우에는 HDD 의 포맷타입이 FAT32 방식이라면
     문제될 것이 없으나 NTFS 방식이라면 부팅이 안되고 에러 메세지가 발생하게 됩니다.  
     이 때에는 윈도정품CD를 이용하여 콘솔모드로 로그인 한 후 ntfs.sys 파일을 재설치 해야 합니다.

다소 복잡해 보이네요.

마지막으로 대처하는 방법에 대해 살펴보겠습니다.

- V3를 이용한 치료

이 악성코드는 정상적인 ntfs.sys파일과 beep.sys 파일을 악성코드로 교체하고 정상파일은 암호화되어 별도의 보관장소에 보관합니다. 두 파일 중 ntfs.sys 파일은 NTFS 파일시스템을 이용하는 시스템에서 부팅 시 꼭 필요한 파일이므로 만약 교체된 악성코드를 임의로 삭제하게 되면 부팅시 필요한 파일이 삭제된 상태가 되고 이로 인해 부팅에러가 발생합니다. 따라서 반드시 V3를 이용한 치료를 하셔야 합니다.
V3에는 암호화되어 저장된 ntfs.sys 파일을 복호화하여 원래 위치로 복원해주는 기능이 추가되어 있습니다.

- SiteGuard를 이용한 감염 예방

SiteGuard에는 악성코드를 유포하는 유해 사이트들에 대한 접속을 차단하는 기능이 있습니다. 이러한 악성코드들이 대부분 악성 스크립트가 삽입된 웹사이트들을 통해 유포되기때문에 SiteGuard를 이용하시는 것은 피해 예방을 위해 도움이 될 수 있습니다.