바탕화면을 감추고 프로그램의 실행을 차단하는 허위 백신 주의
안녕하십니까? 이스트소프트 알약 긴급대응팀입니다.현재 윈도우의 바탕화면 아이콘을 감추고, PC에 설치된 프로그램의 실행을 차단하는 V.TRJ.FakeAV.SecurityTool가 다양한 변종 출현과 함께 감염 확산이 증가하고 있어 PC 사용자들의 주의가 필요합니다. 만약, 이 V.TRJ.FakeAV.SecurityTool 변종 악성코드에 감염될 경우 백신 프로그램 화면이 실행되지 않으므로 반드시 안전모드에서 악성코드를 치료해야합니다.
현재까지도 계속적으로 해당 악성코드의 변종이 발견되고 있는 상황이기 때문에 신뢰할 수 없는 웹사이트의 방문(주로 해외 사이트)을 자제하여 주시기바랍니다. 알약에서는 현재 해당 악성코드를 진단하고 제거하고 있으며 계속적으로 추가되는 해당 악성코드의 변종을 발견하는 대로 긴급 업데이트를 실시하고 있으니, 항상 DB를 최신버전으로 유지해주시고 실시간 감시 기능을 활성화 시켜두셔야 합니다.
[감염 증상]
1) 아래와 같은 허위 백신 화면이 자주 나타납니다.
2) 레지스트리 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\에랜덤한 숫자 값=C:\Document and Settings\ALL Users\Application Data\랜덤 숫자\랜덤숫자.exe을 추가합니다.
3) HKLM\Software\랜덤숫자 레지스트리 폴더 및 키를 추가합니다.
4) C:\Document and Settings\ALL Users\Application Data\랜덤 숫자\랜덤숫자.exe 파일을 생성합니다.
5) 처음 자기 자신의 설치파일은 삭제합니다.
6) 허위 진단 결과 및 경고 메시지를 사용자에게 보여주고 유료 결제를 유도합니다.
<결제유도 페이지 및 허위 악성코드 경고 메시지>
7) 변종에 따라서 바탕화면이 나타나지 않거나 PC에 설치된 대부분의 프로그램이 실행되지 않습니다. 단, 현재까지 확인된 예외 사항로는 explorer.exe만 실행가능합니다.
<위의 화면과 같이 허위 진단명을 제시하면서 프로그램 실행을 차단합니다>
[제거 방법]
현재 알약에서는 해당 악성코드를 V.TRJ.FakeAV.SecurityTool로 진단하고 있으며, 제거가 가능합니다. 이미 V.TRJ.FakeAV.SecurityTool에 감염된 PC에서는 반드시 안전모드에서 알약을 설치하여 최신DB로 업데이트한 후 수동으로 검사를 실시해야합니다.
[예방 방법]
1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.