본문 바로가기
AhnLab 보안in

가짜백신 Home Antivirus 2010 주의하세요

by 보안세상 2020. 4. 8.

2009.08.10

 

최근 PC 리부팅 증상을 보이는 가짜백신 Home Antivirus 2010이 유포되고 있어 주의가 필요합니다. 종전 등장했던 antivirus2009 , System Security 2010 시리즈와 다른 점은 다음과 같습니다.

-. 바탕화면을 변조하여 사용자의 불안감을 조장하는 기능이 없습니다.

-. 윈도의 정상 시스템 파일인 ntfs.sys 파일을 변조하여 악성코드 설치에 활용합니다.

이 가짜백신에 감염이 되면 아래의 화면과 같이 프로그램이 실행되고 우측 하단 트레이 아이콘에 허위 경고 창이 팝업으로 뜹니다.

 

[Home Antivirus 2010에 감염되었을 때 화면]


- 
허위로 악성코드를 진단을 하며 치료를 위해 [Remove]를 클릭하거나 허위 경고 팝업 창을 클릭하면 결제 페이지로 연결하여 결제를 요구합니다.

 

[치료를 위해 결제를 유도하는 창]

 

 - PC 부팅 후 약 1분 이내에 재부팅되는 현상이 드물게 발생할 수 있습니다.

- 방화벽을 OFF시키고, 인터넷 익스플로러 시작 페이지를 구글로 변경합니다.

 - 사용자의 PC 내에 쓰레기 파일들을 랜덤하게 생성시킨 후 그것들을 찾아 진단/치료하는 과정에서 결제를 요구합니다.

 

<설치되는 파일 정보>

* hp32_nword.exe (파일명에 차이가 있을 수 있음)     
- 메모리 상에서 변조된 svchost.exe를 실행, 개인 정보(FTP 계정 정보 등)를 외부로 유출

* braviax.exe
-보안제품의 정상실행 차단
- HomeAntiVirus2010 설치를 위한 wisdat.exe , wisdstr.exe 파일을 다운로드 및 실행
- 사용자 계정에 cru625.dat 를 만들어 DLL이 실행될 때마다 자동 인젝션(Injection)

* wisdat.exe (wisdstr.exe 
와 동일)      
윈도의 정상적인 sys파일인 ntfs.sys 파일을 변조 후 ntfs.sys 파일을 설치하여 지속적으로 Home Antivirus2010을 설치.

 

<피해 예방법>

1)     최신 버전의 V3를 이용하여 감염된 파일을 진단/치료한다. 치료하면 암호화된 sys 파일이 복원됩니다.

2)     웹 사이트 방문 시 보안 경고창이 뜨면 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 것이 좋습니다. 또한 안철수연구소 ‘사이트가드’를 사용하는 것도 한 방법입니다. 

3)     의심이 되는 프로그램을 설치한다는 경고가 나오는 경우 ‘예’ ‘아니오’ 중 어느 것도 선택하지 않고 창을 닫습니다.

4)    PC를 진단해주는 프로그램의 창이 떳을 때 진단 내용이 정확한지 확인해야 합니다. 진단된 파일 및 레지스트리의 전체 경로를 명확히 보여주는지, 진단된 경로에 그런 이름의 파일이 있는지, 운영체제의 정상 파일이 맞는지 살펴야 합니다. 일부 허위 백신은 진단 결과를 과장하기 위해 정상 파일이나 레지스트리를 진단하거나, 운영체제가 임시로 저장하는 파일이나 레지스트리를 진단하기도 하므로 주의가 필요합니다.

5)    치료를 위해 결제하라는 안내가 나오면 그 프로그램이 믿을 수 있는 회사의 제품인지, 다른 사용자들이 추천하는 제품인지 알아본 후 결제해도 늦지 않습니다. 신뢰성을 검증하기 위해서는 프로그램 제작사의 웹 사이트가 있는지, 웹 사이트에 회사 소개가 투명하게 되어 있는지, 전화번호가 명시되어있다면 해당 번호로 연락이 가능한지 확인해봅니다.

6)    사용자가 믿을 수 있다고 판단해 설치한 경우 약관에 ‘사용자가 해지 통보를 하지 않으면 자동 연장된다’는 식의 자동 결제 연장 문구가 있는지 등의 약관을 잘 살펴야 합니다.