본 포스트에서는 로그웨어의 일종으로서 Smart Guard Protection(스마트 가드 프로텍션)의 치료 및 수동 삭제 방법에 대해 적으려고 합니다. Smard Guard Protection(스마트 가드 프로텍션)도 이전에 쓴 'Windows Virtual Protector(윈도우 버츄얼 프로텍터)'와 마찬가지로 윈도우 취약점을 이용하거나 혹은 악성코드가 삽입된 웹 사이트에서 감염될 가능성이 매우 높고 '악성코드'에 대한 진단/치료를 하는 정상적인 프로그램인 척하지만 실제로는 허위로 악성코드를 진단/치료를 하는 척 하며 사용자의 PC 사용 행위를 방해하며, 금전적 결제를 요구하는 'Rougeware(로그웨어)'의 일종입니다. 


그리고 여담으로 어디서 다운받은건지는 파악을 못했지만 최근 네이버 지식in이라든가 네이버 블로그에서 Smart Guard Protection이 설치되어 피해를 입은 분들이 많은 모양입니다. 다른 로그웨어에 비해 글이 좀 있는 편입니다.^^ 


다시 본른오르 본 프로그램은 AntiVM이 적용된 탓인지 VMWare에서 실행이 안되서 어쩔 수 없이 Google에서 떠도는 BypassVmware 기법을 모두 적용해서 해봤는데 역시나 실행이 안되어서........ 어차피 컴퓨터 백업본도 2~3중으로 설치했고, 컴퓨터 느려진거 다시 포맷하려는 김에 실제로 쓰는 PC에 감염을 유도했습니다. 




1. Smart Guard Protection(스마트 가드 프로텍션) 설치를 유도하는 악성코드 정보





>> Virustotal 진단 결과     자세한 정보 클릭



크기 : 507.4KB

MD5 : 5445f44f305cc13369de8f00421befa2


AhnLab-V3 : Trojan/Win32.Tepfer

AntiVir : TR/Winwebsec.5195654

Avast : Win32:FakeAV-FFZ [Trj]

BitDefender : Trojan.GenericKD.1448812

nProtect : Trojan.GenericKD.1448812




2. Smart Guard Protection 실행 과정 간단 분석


해당 악성코드가 실행이 되면 다음과 같은 경로에 파일 및 레지스트리를 생성 및 변경을 합니다.



>> 파일 생성


C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).exe

C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).exe.manifest

C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).ico

C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리+Swwggggg).in

C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리.Swwggggg).lg


C:\Users\(사용자 계정)\바탕화면\Smart Guard Protection.ink

C:\Users\(사용자 계정)\바탕화면\Smart Guard Support.html


C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).exe

C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).exe.manifest

C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).ico

C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리+Swwggggg).in

C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리.Swwggggg).lg



>> 레지스트리 생성


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "AS2014" 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Guard Protection

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "AS2014"
HKEY_CURRENT_USER\Control Panel\Dont's load  "wsupi.cpl"


▶ 시작 프로그램에 "Smart Guard Protection" 생성 및 윈도우 보안센터 숨기기




>> 레지스트리 값 변경



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system 

"EnableLUA" = "1"에서 "0"으로 변경 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system 

"EnableVirtualization" = "1"에서 "0"으로 변경


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore 

"RPSessionInterval" = "1" "0"으로 변경


▶ 사용자 계정 권한 제거 및 시스템 복구 기능 불가능



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" = "C:\Windows\System32\userinit.exe,"에서 
"C:\Windows\system32\userinit.exe,,C:\ProgramData\glln3733\glln3733.exe -sm,"로 변경

▶ 시작시 자동으로 Smart Guard Protection 실행

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify ="0"에서 "1"로 변경
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify ="0"에서 "1"로 변경
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify ="0"에서 "1"로 변경

▶ 윈도우 보안 센터 내 방화벽 등의 보안 프로그램 무력화




해당 악성코드가 실행이 되면 윈도우 보안 센터가 무력회되고 다음과 같은 창이 뜹니다.






아무런 죄도 없는 프로그램들을 Trojan, Virus, Malware, Adware로 진단해버리면서 결국에는 금전적 결제를 요구합니다.




그리고 인터넷 접근시 경고 창이 뜨면서 접근을 제한 합니다. Internet Explorer를 들어가자마자 모든 사이트를 Block하는 반면 제 컴퓨터에 설치되어 있는 Chrome의 경우 파일 자체를 실행하지 못하도록 막습니다.




더불어 계속 우측 트레이 아이콘에서 팝업창을 유발하면서 PC 사용에 크나큰 영향을 미칩니다.







3. Smart Guard Protection 치료 방법


1) Smart Guard Protection에서 License Key(Code)를 삽입합니다. Code 삽입법은 다음과 같습니다.



Active Smart Guard Protection for full protection을 누릅니다. 금전 결제 요구 창이 뜨면 아래의 'I already have activation key'를 누릅니다.



여기서 Code를 둘 중 하나 택일하여 넣어보시기 바랍니다.


AA39754E-715219CE

AA39754E-216A8FF3





Code가 활성화되면 limited version에서 Full Version으로 변경이 됩니다.




2) 작업관리자(Taskmgr.exe)에 들어간 뒤 (영어 소문자 랜덤 4자리+숫자 랜덤 4자리).exe 혹은 숙주 파일을 종료해주시기 바랍니다. 저 같은 경우에는 Security_cleaner.exe(레알 원본)입니다.




3) 인터넷 상에서 MalwareBytes(설치파일 다운로드 받기)을 설치 및 업데이트 후 전체검사 및 치료를 해주시기 바랍니다.



** MalwareBytes의 경우 오진 경향이 있으므로 주의하시기 바랍니다.




4) 혹은 위의 과정(Code 활성화 실패, MalwareBytes 사용 모름 등)이 여의치 않는다면 다음과 같은 과정으로 진행해주시기 바랍니다.


   4-1) 컴퓨터를 재부팅한 뒤 안전모드에 들어갑니다. 안전모드에서 막힐 시 안전모드(명령 프롬프트)  사용 메뉴로 들어가주시기 바랍니다. 진입 후 cmd.exe 창에서 explorer를 입력해주시기 바랍니다.


※ 안전모드(명령 프롬프트) 이용시 cmd.exe 창은 번거롭더라도 끄지 말기 마랍니다. 


   4-2) 안전모드 접근 뒤 시작 - 제어판 - 폴더 옵션에 들어가 다음과 같이 설정해주시기 바랍니다.





    4-3) 다음과 같은 경로에서 파일 및 폴더를 삭제주시기 바랍니다.


        C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)

        C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)







    4-4) 레지스트리에서 다음과 같은 값을 지워주시기 바랍니다. 


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "AS2014" 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "AS2014"

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Guard Protection

HKEY_CURRENT_USER\Control Panel\Dont's load  "wsupi.cpl"


실행 방법 : 시작 - 실행 - Regedit 혹은 윈도우 로고키 + R









    4-5) 레지스트리를 지우신 뒤 다음의 레지스트리 경로에서 변경된 값을 기본값으로 변경해주시기 바랍니다.



HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify ="1"에서 "0"로 변경
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify ="1"에서 "0"로 변경
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify ="1"에서 "0"로 변경

## 2014.01.12.17시 오타 정정합니다. 죄송합니다.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system 

"EnableLUA" = "0"에서 "1"로 변경 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system 

"EnableVirtualization" = "0"에서 "1"로 변경


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore 

"RPSessionInterval" = "0"에서 "1"로 변경


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"C:\Windows\system32\userinit.exe,,C:\ProgramData\glln3733\glln3733.exe -sm,"서 
"Userinit" = "C:\Windows\System32\userinit.exe,"로 변경











완료하신 뒤 재부팅해주시고 백신으로 정밀검사/치료를 통해 Smart Guard Protection(스마트 가드 프로텍션)의 찌꺼기를 정리해주시기 바랍니다. 차후에는 Windows Update의 활성화 및 최신 업데이트 적용, 백신 실시간 감시, 최신 업데이트 적용, 의심스럽고 출처가 불분명한 사이트 접근 금지 수칙 등의 보안 수칙을 지켜주시기 바랍니다.



# 2014.01.19 추가


1. 최근에 감염된 Smart Guard Protection(스마트 가드 프로텍션) 랜섬웨어의 경우 위에 언급한 활성화 키가 먹히지 않는다고 합니다. 곧바로 수동삭제 쪽으로 움직여주시기 바랍니다. 안전모드도 마찬가지로 안전모드(명령 프롬프트)로 가주시기 바랍니다. 


2. 추가적으로 이 Smart Guard Protection을 어디서 유입되어 받으셨는지 기억나는 분 있으면 비밀덧글로 남겨주시기 바랍니다.




참조 


http://freeofvirus.blogspot.kr/2013/12/remove-smart-guard-protection.html#sthash.4Z0W0xLl.dpuf

http://www.enigmasoftware.com/smartguardprotection-removal/

http://www.anvisoft.com/resources/how-to-remove-smart-guard-protection-rogueware-removal-guide/

Posted by Ec0nomist