악성코드 파일 명 : install.exe(Virustotal 28 / 50)

MD5 : 66ee52202658adec75f352c4a57e4be0


악성코드 진단 정보


BitDefender : Trojan.GenericKD.1520768

Kaspersky : Trojan-Dropper.Win32.Dapato.dlau

Microsoft : Rogue:Win32/FakePAV

nProtect : Trojan.GenericKD.1520768



>> 파일 생성


C:\Users\(사용자 계정)\Appdata\Roaming\svc-(랜덤 영어 소문자 4자리).exe




>> 레지스트리 생성 : 특정 프로그램 실행 차단


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MpCmdRun.exe 

  - Windows Defender


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MpUXSrv.exe 

  - Windows Defender


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSASCui.exe 

  - Windows Defender


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe 

  - 시스템 구성 유틸리티


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe 

  - Windows Defender


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe 

  - Microsoft Security Essentials 백신 프로그램



HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\


"Shell" = C:\Users\(사용자 계정명)\Appdata\Roaming\svc-(랜덤 영어 소문자 4자리).exe 생성


>> 사용자 PC 사용 방해 목적으로 윈도우 바탕화면 접근을 차단





본 포스트에서 언급할 Windows Ultimate Booster 랜섬웨어의 경우 샘플만 수집한지라 정확한 감염 경로는 확인할 수 없으나 대체로 신뢰할 수 없는 사이트에서 다운, Drive by Download, 취약점을 이용한 악성코드 감염 등으로 추정이 되는 바입니다. 이 번에 발견된 랜섬웨어는 이름만 바뀌었지 지난 번에 발견한 Windows Virtual Protector와 같은 랜섬웨어입니다.^^


해당 악성코드의 경우 감염시 아래와 같은 창을 띄우고 시스템을 강제로 종료 후 재부팅합니다. 그리고 재부팅시 강제로 Windows Ultimate Booster가 실행이 됩니다.







>> Windows Ultimate Booster 랜섬웨어 삭제 방법


1-1 상단 메뉴의 도움말 아이콘을 클릭한 뒤 Register에 들어가 Windows Ultimate Booster 활성화 코드를 입력합니다.



0W000-000B0-00T00-E0001
0W000-000B0-00T00-E0002
0W000-000B0-00T00-E0003





1-2. 위의 파일 및 레지스트리 작업을 마쳤으면 재부팅하여 악성코드 찌꺼기들을 없애기 위해 백신으로 정밀검사/치료 실시해주시기 바랍니다. 참고로 랜섬웨어 치료/삭제의 경우 MalwareBytes가 좋습니다. 다운 링크






2-1. 악성코드의 치료를 위하여 윈도우를 재부팅하고, 윈도우 로고가 나오기 전에 F8을 연타합니다. 그리고 안전모드(명령프롬프트 사용)로 들어갑니다. 



2-2. 안전모드 부팅이 완료되면 명령프롬프트 창이 뜨는데 여기서 explorer를 입력합니다. 그러면 바탕화면이 나옵니다만 중요한 점은 해당 cmd.exe 창을 종료하지 마시기 바랍니다.^^




2-3. 아래의 경로에 있는 Windows Ultimate Booster 랜섬웨어를 삭제해주시기 바랍니다.



C:\Users\(사용자 계정)\Appdata\Roaming\svc-(랜덤 영어 소문자 4자리).exe



2-4. 레지스트리 편집기로 이동하여(윈도우 로고키 + R - regedit) 아래의 경로에서 악성코드 생성 값을 삭제해주시기 바랍니다.



HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\

"Shell" = C:\Users\(사용자 계정명)\Appdata\Roaming\svc-(랜덤 영어 소문자 4자리).exe 삭제






2-5. 위의 파일 및 레지스트리 작업을 마쳤으면 재부팅하여 악성코드 찌꺼기들을 없애기 위해 백신으로 정밀검사/치료 실시해주시기 바랍니다. 참고로 랜섬웨어 치료/삭제의 경우 MalwareBytes가 좋습니다. 다운 링크






## Windows Ultimate Booster 활성화를 통한 랜섬웨어 치료 방법을 추가하였습니다.(2014-02-04 오전 3시)

Posted by Ec0nomist