허위 안티바이러스 "Antivirus Live" 조치가이드

1. 서론
 최근 허위 안티바이러스 프로그램인 Antivirus Live 가 유포되고 있습니다. 해당 악성코드에 감염시 대부분의 프로세스가 실행되지 않는 어려움이 있어, 감염 증상 및 조치 방법의 안내를 위해 조치 가이드를 작성합니다.


2. 감염 증상
2.1 허위 악성코드 감염 경고
 해당 악성코드에 감염되면 아래 그림들과 같이 허위 안티바이러스 프로그램의 실행 창 및 허위 진단 내용이 출력됩니다.

 [그림 1] 허위 안티바이러스 프로그램 실행 화면

 

[그림 2] 허위 경고창

 

[그림 3] 허위 Tray 경고창

2.2 광고 페이지 연결
 특정 사이트를 사용자의 동의 없이 지속적으로 띄웁니다.


2.3 대부분의 프로그램 실행 불가
 해당 프로그램이 실행중인 경우, 허용된 프로세스 외에 프로세스의 실행이 불가하여 다른 프로그램을 사용하는데 어려움이 발생합니다.


3. 조치 방법
3.1 감염시 조치사항
 해당 악성코드에 감염된 정상 모드에서는 허용된 프로세스 외에 대부분의 프로그램이 실행되지 않으므로, 안전모드에서의 조치가 필요합니다.

1) 안전모드(네트워킹 사용)로 부팅 후  V3 스마트 업데이트를 실행하여 최신엔진으로 업데이트한 다음, 수동 검사(정밀 검사)를 통한 시스템 전체 검사를 수행합니다.

자세한 내용 : http://core.ahnlab.com/53

2) 만일, V3에서 진단되지 않는 경우라면 아래의 경로에서 문제가 되는 파일을 찾아 임의의 폴더에 복사한 후 삭제합니다. 임의의 폴더에 복사한 파일은 압축하여 안철수연구소 홈페이지의 ‘바이러스 신고센터’로 접수합니다.

C:\Documents and Settings\[사용자계정]\Local Settings\Application Data\[영문 6자리]\[영문 4자리]+sysguard.exe

3) 문제가 되는 파일을 삭제한 후, 재부팅하여 증상을 확인합니다.

3.2 웹 페이지 접속 불가시 조치사항
 해당 악성파일의 실행으로 인해 인터넷 속성이 변경(프록시 서버 설정값)되어 웹 페이지의 접속이 불가할 경우, 아래 안내 드리는 방법으로의 수행을 요청 드립니다.

1) 인터넷 창을 실행합니다.
2) 상단 메뉴의 [도구] > [인터넷 옵션]을 선택합니다.
3) [연결]탭의 'LAN설정'항목 내의 [LAN설정]을 선택합니다.
4) '프록시 서버' 항목의 [사용자 LAN에 프록시 설정 사용...]에 체크를 해제한 후, 확인합니다.

4. 예방 방법

1) 주기적인 업데이트로 V3 제품을 항상 최신엔진으로 유지하며, 실시간 감시 기능을 활성화합니다.
2) 웹 페이지를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 설치합니다.
3) 윈도우 취약점을 이용한 악성코드 감염을 예방하기 위해 Windows Update 를 통해 윈도우 보안 패치를 확인하고 설치합니다.