본문 바로가기
악성코드 정보

허위 안티바이러스(백신) Digital Protection / Data Protection 주의!

by 알 수 없는 사용자 2010. 5. 5.
1. 서론
금일 Digital Protection / Data Protection 이라는 프로그램명의 허위백신이 많이 발견되어 증상 및 조치가이드를 안내해 드립니다.


2. 감염 시 증상
해당 허위백신이 실행이 되면 아래와 같은 트레이 아이콘이 나타납니다.


[그림1. 감염 시 나타나는 트레이 아이콘]



이때 트레이 아이콘이나 메세지를 클릭하게 되면 아래와 같은 창이 나타납니다. 아래창은 프로그램을 설치하는 과정으로 속이기 위한 창으로 실제로는 허위백신과 관련된 파일을 특정 주소에서 다운로드 하는 과정입니다.


[그림2. 허위백신에 사용되는 파일을 다운로드 하는 화면]


시간이 지나면 아래와 같이 윈도우 보안 센터와 비슷하게 꾸민 창이 나타나며 바탕화면에 성인사이트로 연결하는 아이콘이 생성되기도 합니다.

[그림3. 윈도우 보안센터와 비슷하게 만든 거짓 알림 창]


그리고 아래와 같은 허위 안티바이러스(백신) 프로그램이 실행 됩니다.

[그림4. 허위 안티바이러스(백신) 실행 화면]



3. 조치 방법
현재 V3 제품에서 해당 허위백신을 진단하고 있습니다. 따라서 V3 제품에서 스마트업데이트를 통해 엔진을 최신엔진으로 업데이트 하신 후 검사 및 치료를 진행해 보시기 바랍니다.

만약 수동으로 조치를 하고자 하신다면 아래와 같이 진행하시기 바랍니다.

1. Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip


2. Ice Sword 에서 [File] 메뉴를 선택을 합니다. 선택 후 아래의 경로로의 파일 및 폴더를 찾아 마우스 오른클릭 후 [Force Delete]를 눌러 파일 및 폴더를 삭제 합니다.
참고 : http://core.ahnlab.com/18

(Windows XP 시스템일 경우)
C:\Documents and Settings\사용자 계정\Local Settings\Temp\asrkn_pfu.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\bootvrfy.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\mscdexnt.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\dmadmin.exe
C:\Documents and Settings\사용자 계정\Local Settings\Temp\kernel64xp.dll

(Windows Vista 혹은 Windows 7 시스템일 경우)
C:\Users\사용자 계정\Appdata\Local\Temp\asrkn_pfu.exe
C:\Users\사용자 계정\Appdata\Local\Temp\bootvrfy.exe
C:\Users\사용자 계정\Appdata\Local\Temp\mscdexnt.exe
C:\Users\사용자 계정\Appdata\Local\Temp\dmadmin.exe

C:\Users\사용자 계정\Appdata\Local\Temp\kernel64xp.dll

(이하 내용은 모든 Windows가 동일하며 해당 폴더가 없으면 무시하셔도 됩니다.)
C:\Program Files\Digital protection
(폴더 전체를 삭제)
C:\Program Files\Data protection (폴더 전체를 삭제)
C:\Windows\pragmavmkoismonw (폴더 전체를 삭제)


3. 시스템을 재부팅을 합니다.


댓글