본 포스트에서는 'Windows Virtual Protector'이라고 해서 가짜백신, 소위 말하자면 Rougeware(로그웨어)라고 해서 백신 진단/치료 역할을 하는 정상적인 프로그램으로 둔갑하지만 실제로는 아무런 진단/치료 기능도 없이 사용자의 행동을 통제하고 오히려 팝업 창 등을 유발하면서 금전적 결제를 유도하는 프로그램에 대해 알아보겠습니다.



Windows Virtual Protector은 운 좋게 샘플만 구한거라 정확히 어디에서 흘러나온지는 파악을 못했지만 대체로 특정 외국 사이트에서 보안 취약점을 이용하거나 혹은 자료 다운받던 중 이상한 곳으로 유인하면서 Drive by Drive 방식으로 사용자의 PC에서 실행이 되는 것으로 보입니다.



1. Windows Virtual Protector 설치를 유도하는 악성코드 바이러스 토털 진단 결과


Proto-uxbl.exe(Virustotal : 19/ 47)

자세한 진단 결과 보기


AVG :  FakeAV_r.XP

AntiVir : TR/FakeAV.bzp

BitDefender : Trojan.GenericKD.1494418

Kaspersky : Trojan-Dropper.Win32.Dapato.djpj

Malwarebytes : Trojan.FakeAV

ViRobot : Trojan.Win32.U.FakeAV.1073152





2. Windows Virtual Protector 간단 분석 



해당 파일이 어떻게든 간에 실행이 되면 다음과 같은 경로에 자신과 같은 파일 및 레지스트리를 복사 및 생성, 변경을 시도합니다.




>> 파일 생성


C:\Users\(사용자 계정)\Appdata\Roaming\proto-(랜덤 영어 소문자 4자리).exe




>> 레지스트리 생성 : 특정 프로그램 실행 차단


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MpCmdRun.exe 

  - Windows Defender


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MpUXSrv.exe 

  - Windows Defender


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSASCui.exe 

  - Windows Defender


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe 

  - 시스템 구성 유틸리티


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe 

  - Windows Defender


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe 

  - Microsoft Security Essentials 백신 프로그램




>> 레지스트리 변조(정상 Explorer.exe 차단 후 Windows Virtual Protector로 곧장 실행)


HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\에서


"Shell" = C:\Users\(사용자 계정명)\Appdata\Roaming\proto-(랜덤 영어 소문자 4자리).exe




그리고 Windows Virtual Protector 프로그램을 실행할 준비를 갖춘 뒤 현재 실행 중인 프로그램 및 시스템을 강제로 종료시킨 후 윈도우를 강제 재부팅(Reboot)합니다. 





그리고 재부팅되면 다음과 같이 'proto-(영어 소문자 랜덤 4자리).exe'를 관리자 권한으로 실행하려는 창이 뜹니다.



여기서 확인을 누르던 취소를 누르던 간에 proto-(random 영어 소문자 4자리).exe가 실행이 됩니다.




해당 단계가 지나면 저절로 진행이 되며 시스템에 있는 멀쩡한 정상파일을 Trojan, Backdoor 등으로 규정한 뒤 파일을 삭제/치료하려고 합니다. 파일을 치료한다고 누를 경우 금전적인 결제를 요구합니다. 













해당 프로그램이 실행이 되면 바탕화면 진입이 불가하고 더불어 해당 프로그램이 실행되고 있는 한 제어판 cpl 파일, shell32.dll, svchost.exe, explorer.exe, 아크로뱃 리더 업데이트 파일, MS Office의 Groovemonitor.exe 등 자신의 행위를 막을 만한 모든 것들을 다 차단시켜 버립니다. 더불어 해당 프로그램 종료도 안됩니다. 참 골치아픈 악성코드입니다.






3. Windows Virtual Protector(윈도우 버추철 프로텍터) 치료 및 수동 삭제 방법



해당 악성코드는 앞서 말했듯이 정상적인 치료 행위를 방해하기 위해서 윈도우에 접근을 하지 못하도록 막습니다. 그래서 안전모드로 들어가야 하는데 안전모드 중에서 안전모드[명령 프롬프트 실행]으로 들어가 주시기 바랍니다. 


혹시나 안전모드나 안전모드(네트워킹 사용)으로 들어가면 안되냐고 궁금하신 분들을 위해 안전모드, 안전 모드(네트워킹 사용)로 들어가면 어떻게 되는지 스크린샷으로 찍었습니다.



막힙니다. 그래서 안전모드(명령 프롬프트 사용)으로 들어가라고 한 겁니다.


다시 본론으로




안전모드[명령 프롬프트 실행]에 들어오셨으면 현재 켜진 cmd.exe 창을 종료하지 마시고 explorer를 입력해주시기 바랍니다. 여기서 주의할 점이 수동으로 임시방편으로 제거하는 과정에서 절대로 cmd.exe를 종료하지 말기 바랍니다.





임시방편으로 바탕화면이 켜졌으면 다음의 경로에서 해당 파일을 삭제해주시기 바랍니다.


C:\Users\(사용자 계정)\Appdata\Roaming\proto-(랜덤 영어 소문자 4자리).exe





추가적으로 레지스트리에서 다음의 값을 변경해주시기 바랍니다.


HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\에서


"Shell" = C:\Users\(사용자 계정명)\Appdata\Roaming\proto-(랜덤 영어 소문자 4자리).exe을 Explorer.exe로 변경









그 다음 시스템을 재부팅하면 정상적으로 돌아옵니다만 일부 남은 악성코드 진단/치료를 위하여 백신으로 정밀검사를 해주시거나 혹은 MalwareBytes 백신을 이용해주시기 바랍니다.


MalwareBytes 백신 다운로드 받기 링크   ** 우측의 Free Version을 다운받으세요





참조 자료


1. Windows Virtual Protector Virus Removal Guide

    - http://deletemalware.blogspot.kr/2014/01/windows-virtual-protector-virus-removal.html

Posted by Ec0nomist

댓글을 달아 주세요