본 포스트에서는 로그웨어의 일종으로서 Smart Guard Protection(스마트 가드 프로텍션)의 치료 및 수동 삭제 방법에 대해 적으려고 합니다. Smard Guard Protection(스마트 가드 프로텍션)도 이전에 쓴 'Windows Virtual Protector(윈도우 버츄얼 프로텍터)'와 마찬가지로 윈도우 취약점을 이용하거나 혹은 악성코드가 삽입된 웹 사이트에서 감염될 가능성이 매우 높고 '악성코드'에 대한 진단/치료를 하는 정상적인 프로그램인 척하지만 실제로는 허위로 악성코드를 진단/치료를 하는 척 하며 사용자의 PC 사용 행위를 방해하며, 금전적 결제를 요구하는 'Rougeware(로그웨어)'의 일종입니다. 


그리고 여담으로 어디서 다운받은건지는 파악을 못했지만 최근 네이버 지식in이라든가 네이버 블로그에서 Smart Guard Protection이 설치되어 피해를 입은 분들이 많은 모양입니다. 다른 로그웨어에 비해 글이 좀 있는 편입니다.^^ 


다시 본른오르 본 프로그램은 AntiVM이 적용된 탓인지 VMWare에서 실행이 안되서 어쩔 수 없이 Google에서 떠도는 BypassVmware 기법을 모두 적용해서 해봤는데 역시나 실행이 안되어서........ 어차피 컴퓨터 백업본도 2~3중으로 설치했고, 컴퓨터 느려진거 다시 포맷하려는 김에 실제로 쓰는 PC에 감염을 유도했습니다. 




1. Smart Guard Protection(스마트 가드 프로텍션) 설치를 유도하는 악성코드 정보





>> Virustotal 진단 결과     자세한 정보 클릭



크기 : 507.4KB

MD5 : 5445f44f305cc13369de8f00421befa2


AhnLab-V3 : Trojan/Win32.Tepfer

AntiVir : TR/Winwebsec.5195654

Avast : Win32:FakeAV-FFZ [Trj]

BitDefender : Trojan.GenericKD.1448812

nProtect : Trojan.GenericKD.1448812




2. Smart Guard Protection 실행 과정 간단 분석


해당 악성코드가 실행이 되면 다음과 같은 경로에 파일 및 레지스트리를 생성 및 변경을 합니다.



>> 파일 생성


C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).exe

C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).exe.manifest

C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).ico

C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리+Swwggggg).in

C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리.Swwggggg).lg


C:\Users\(사용자 계정)\바탕화면\Smart Guard Protection.ink

C:\Users\(사용자 계정)\바탕화면\Smart Guard Support.html


C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).exe

C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).exe.manifest

C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리).ico

C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리+Swwggggg).in

C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리.Swwggggg).lg



>> 레지스트리 생성


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "AS2014" 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Guard Protection

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "AS2014"
HKEY_CURRENT_USER\Control Panel\Dont's load  "wsupi.cpl"


▶ 시작 프로그램에 "Smart Guard Protection" 생성 및 윈도우 보안센터 숨기기




>> 레지스트리 값 변경



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system 

"EnableLUA" = "1"에서 "0"으로 변경 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system 

"EnableVirtualization" = "1"에서 "0"으로 변경


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore 

"RPSessionInterval" = "1" "0"으로 변경


▶ 사용자 계정 권한 제거 및 시스템 복구 기능 불가능



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" = "C:\Windows\System32\userinit.exe,"에서 
"C:\Windows\system32\userinit.exe,,C:\ProgramData\glln3733\glln3733.exe -sm,"로 변경

▶ 시작시 자동으로 Smart Guard Protection 실행

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify ="0"에서 "1"로 변경
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify ="0"에서 "1"로 변경
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify ="0"에서 "1"로 변경

▶ 윈도우 보안 센터 내 방화벽 등의 보안 프로그램 무력화




해당 악성코드가 실행이 되면 윈도우 보안 센터가 무력회되고 다음과 같은 창이 뜹니다.






아무런 죄도 없는 프로그램들을 Trojan, Virus, Malware, Adware로 진단해버리면서 결국에는 금전적 결제를 요구합니다.




그리고 인터넷 접근시 경고 창이 뜨면서 접근을 제한 합니다. Internet Explorer를 들어가자마자 모든 사이트를 Block하는 반면 제 컴퓨터에 설치되어 있는 Chrome의 경우 파일 자체를 실행하지 못하도록 막습니다.




더불어 계속 우측 트레이 아이콘에서 팝업창을 유발하면서 PC 사용에 크나큰 영향을 미칩니다.







3. Smart Guard Protection 치료 방법


1) Smart Guard Protection에서 License Key(Code)를 삽입합니다. Code 삽입법은 다음과 같습니다.



Active Smart Guard Protection for full protection을 누릅니다. 금전 결제 요구 창이 뜨면 아래의 'I already have activation key'를 누릅니다.



여기서 Code를 둘 중 하나 택일하여 넣어보시기 바랍니다.


AA39754E-715219CE

AA39754E-216A8FF3





Code가 활성화되면 limited version에서 Full Version으로 변경이 됩니다.




2) 작업관리자(Taskmgr.exe)에 들어간 뒤 (영어 소문자 랜덤 4자리+숫자 랜덤 4자리).exe 혹은 숙주 파일을 종료해주시기 바랍니다. 저 같은 경우에는 Security_cleaner.exe(레알 원본)입니다.




3) 인터넷 상에서 MalwareBytes(설치파일 다운로드 받기)을 설치 및 업데이트 후 전체검사 및 치료를 해주시기 바랍니다.



** MalwareBytes의 경우 오진 경향이 있으므로 주의하시기 바랍니다.




4) 혹은 위의 과정(Code 활성화 실패, MalwareBytes 사용 모름 등)이 여의치 않는다면 다음과 같은 과정으로 진행해주시기 바랍니다.


   4-1) 컴퓨터를 재부팅한 뒤 안전모드에 들어갑니다. 안전모드에서 막힐 시 안전모드(명령 프롬프트)  사용 메뉴로 들어가주시기 바랍니다. 진입 후 cmd.exe 창에서 explorer를 입력해주시기 바랍니다.


※ 안전모드(명령 프롬프트) 이용시 cmd.exe 창은 번거롭더라도 끄지 말기 마랍니다. 


   4-2) 안전모드 접근 뒤 시작 - 제어판 - 폴더 옵션에 들어가 다음과 같이 설정해주시기 바랍니다.





    4-3) 다음과 같은 경로에서 파일 및 폴더를 삭제주시기 바랍니다.


        C:\Users\All Users\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)

        C:\ProgramData\(영어 소문자 랜덤 4자리+숫자 랜덤 4자리)







    4-4) 레지스트리에서 다음과 같은 값을 지워주시기 바랍니다. 


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "AS2014" 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "AS2014"

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Guard Protection

HKEY_CURRENT_USER\Control Panel\Dont's load  "wsupi.cpl"


실행 방법 : 시작 - 실행 - Regedit 혹은 윈도우 로고키 + R









    4-5) 레지스트리를 지우신 뒤 다음의 레지스트리 경로에서 변경된 값을 기본값으로 변경해주시기 바랍니다.



HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify ="1"에서 "0"로 변경
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify ="1"에서 "0"로 변경
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify ="1"에서 "0"로 변경

## 2014.01.12.17시 오타 정정합니다. 죄송합니다.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system 

"EnableLUA" = "0"에서 "1"로 변경 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system 

"EnableVirtualization" = "0"에서 "1"로 변경


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore 

"RPSessionInterval" = "0"에서 "1"로 변경


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"C:\Windows\system32\userinit.exe,,C:\ProgramData\glln3733\glln3733.exe -sm,"서 
"Userinit" = "C:\Windows\System32\userinit.exe,"로 변경











완료하신 뒤 재부팅해주시고 백신으로 정밀검사/치료를 통해 Smart Guard Protection(스마트 가드 프로텍션)의 찌꺼기를 정리해주시기 바랍니다. 차후에는 Windows Update의 활성화 및 최신 업데이트 적용, 백신 실시간 감시, 최신 업데이트 적용, 의심스럽고 출처가 불분명한 사이트 접근 금지 수칙 등의 보안 수칙을 지켜주시기 바랍니다.



# 2014.01.19 추가


1. 최근에 감염된 Smart Guard Protection(스마트 가드 프로텍션) 랜섬웨어의 경우 위에 언급한 활성화 키가 먹히지 않는다고 합니다. 곧바로 수동삭제 쪽으로 움직여주시기 바랍니다. 안전모드도 마찬가지로 안전모드(명령 프롬프트)로 가주시기 바랍니다. 


2. 추가적으로 이 Smart Guard Protection을 어디서 유입되어 받으셨는지 기억나는 분 있으면 비밀덧글로 남겨주시기 바랍니다.




참조 


http://freeofvirus.blogspot.kr/2013/12/remove-smart-guard-protection.html#sthash.4Z0W0xLl.dpuf

http://www.enigmasoftware.com/smartguardprotection-removal/

http://www.anvisoft.com/resources/how-to-remove-smart-guard-protection-rogueware-removal-guide/

Posted by Ec0nomist

댓글을 달아 주세요

  1. 완전최고에요 감사해요

    2014.01.15 14:44 [ ADDR : EDIT/ DEL : REPLY ]
  2. Thanks

    감사합니다! 덕분에 치료됐어요!!!

    2014.01.15 18:45 [ ADDR : EDIT/ DEL : REPLY ]
  3. ㅅㄱ

    감사합니다 코드입력하고 바로삭제햇어요

    2014.01.25 21:13 [ ADDR : EDIT/ DEL : REPLY ]
  4. 전왜 코드가안먹히죠..?

    2014.01.27 22:17 [ ADDR : EDIT/ DEL : REPLY ]
    • 다른 종류의 Smart Guard Protection 랜섬웨어에 감염이 된 것으로 보입니다. 4번으로 이동하여 수동삭제로 해주시고, MalwareBytes로 진단/치료 해주시기 바랍니다.

      2014.01.27 22:21 신고 [ ADDR : EDIT/ DEL ]
  5. 나폴

    너무 막막했는데 포스팅보고 쉽게 치료했네요ㅠ 너무 감사합니다ㅠㅠ

    2014.02.07 10:47 [ ADDR : EDIT/ DEL : REPLY ]
  6. 비밀댓글입니다

    2014.02.07 10:48 [ ADDR : EDIT/ DEL : REPLY ]
    • 고클린 정식 홈페이지에서 설치를 하셨으면 별 이상이 없었을텐데요...
      혹 블로그라든가 이상한 사이트에서 다운받았는지 알 수 있을까요? ?

      2014.02.07 10:51 신고 [ ADDR : EDIT/ DEL ]
    • 비밀댓글입니다

      2014.02.07 11:24 [ ADDR : EDIT/ DEL ]
    • 흠.... 네이버에서 다운받아 감염된 것 같지않고 혹 외국사이트 들어가신적 있나요?

      2014.02.07 11:26 신고 [ ADDR : EDIT/ DEL ]
    • 비밀댓글입니다

      2014.02.07 11:34 [ ADDR : EDIT/ DEL ]
    • 아마 그 사이트에서 스마트 가드 프로텍션 랜섬웨어가 자동으로 설치된 것으로 보입니다. 지금 알바 중이라 들어가기는 어렵고 알바 끝나면 확인해보겠습니다.

      2014.02.07 11:40 신고 [ ADDR : EDIT/ DEL ]
  7. 행복을꿈꾸며

    두시간 헤메다 겨우 삭제했읍니다, 프로세스클린 깔고나서 같이 깔린거 같습니다, 여하튼 정~말 고맙습니다, 머리에 지진나는줄 알았읍니다,

    2014.02.07 19:59 [ ADDR : EDIT/ DEL : REPLY ]
    • 대체로 프로세스클린과 같이 깔린다고 하네요... 혹시 해외 사이트에서 다운받으셨나요???

      2014.02.07 20:15 신고 [ ADDR : EDIT/ DEL ]
  8. HEZINI

    저는 토렌트 다운프로그램 받다가 플러스탭스가 자꾸 떠서 프로세스클린을 깔려고 하다가 스마트가드프로텍션이 깔렸어요. 며칠간 완전 죽겠네요. 컴맹이라 다른 작업 하나도 못하고 며칠째 이러고 있답니다. 다행히 두개의 코드 중 아래꺼가 먹혀서 잘 삭제된것 같아요. 이제 재부팅해야겠습니다. 정말 친절한 설명 감사합니다. 꾸벅꾸벅. ^^

    2014.02.10 02:54 [ ADDR : EDIT/ DEL : REPLY ]
    • HEZINI

      PLUS TABS 없애는 법은 없을까요. ㅠㅠ

      2014.02.10 02:56 [ ADDR : EDIT/ DEL ]
    • Hezini

      아참 저는 네이바 지식인의 답변을 믿고 클릭했네요 ㅜㅜ

      2014.02.10 03:04 [ ADDR : EDIT/ DEL ]
    • PlusTabs.com 팝업창 생성의 경우 제어판 프로그램 추가/제거에서 Internet exPlusTabs v1.1을 삭제해보시기 바랍니다.

      2014.02.10 03:05 신고 [ ADDR : EDIT/ DEL ]
  9. 지웟는데 다시생겨 애먹다가 이글보고 처리햇네요 감사합니다^^

    2014.08.20 10:27 [ ADDR : EDIT/ DEL : REPLY ]
  10. 지웟는데 다시생겨 애먹다가 이글보고 처리햇네요 감사합니다^^

    2014.08.20 10:27 [ ADDR : EDIT/ DEL : REPLY ]
  11. 먹튀 검증

    관리자의 승인을 기다리고 있는 댓글입니다

    2018.08.05 14:50 [ ADDR : EDIT/ DEL : REPLY ]