제가 허위 백신들을 분석해 놓는 것을 보시고 ,
왜 이런 것을 분석해 놓는가 ?
누가 해당 사이트에 가서 저런 백신을 설치하려나 ?

하고 생각하실지도 모릅니다 .

그런데 지식iN등에 보면 ,
허위백신들이 부지불식간에 설치되기도 하고 ,
또는 컴퓨터에 서툰 사용자들에 의하여 설치되기도 해서
고생하시는 경우들이 보입니다 ......

이런 경우가 어떤 허위 백신으로 인하여 생길지 예측을 할 수는 없기 때문에 ,
발견하는데로 , 정보를 얻는데로 제가 분석 가능한 한도내에서
저의 시간이 허용하는 한도내에서
분석해서 포스팅을 하는 것입니다 .

주의 : 허위 백신이 제공하는 언인스톨이나 , 해당 사이트에서 제공하는
          언인스톨 도구 사용시 더 큰 피해 가능합니다 .......
          언인스톨이나 삭제(언인스톨)도구가 악성코드인 경우가
          많습니다 .

테스트실시환경
Windows XP SP2 Professional 입니다 . 

오늘은 Astrum Antivirus Pro 란 허위 백신을 살펴 봅니다 .

홈페이지 : http://www.astrumavrpro.com/
파일 다운로드 위치 : http://www.astrumavrpro.com/dl/1/asv.exe


다운로드 받은 파일을 설치하고
이 허위백신을 실행하니

이 백신은 일단 검사를 시작하면
백신 창을 옮길 수도 없고
Pause 및 Stop이 되지를 않습니다 ........
끄는 방법은 유일하게 프로세스를 죽여야 합니다 .


6개의 히트가 나올 때 , 프로세스를 죽여 버렸는데
검색 결과는 그나마 모두 뻥입니다 .
지 마음대로 결과를 출력하고 있는 것입니다 .

위 백신 설치 파일의 바이러스토탈 검사 결과입니다 .


파일이 변경된 사항입니다 .

 C\Program Files\Astrumsoftware
     Astrum.exe       
     uninst.exe

레지스트리 변경 사항입니다 .

 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{29E762AD-1B6F-3CB6-7F71-866F3E78180B}]

[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion
\App Paths\Astrumsoft]
"기본값"="C:\Program Files\Astrumsoftware\Astrum.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall
\Astrumsoft]
"DisplayIcon"="C:\Program Files\Astrumsoftware\Astrum.exe"
"DisplayName"="Astrum Antivirus Pro 3.6"
"DisplayVersion"="3.6"
"NSIS:StartMenuDir"="Astrum Antivirus Pro 3.6"
"Publisher"="Astrum Antivirus Pro Software"
"UninstallString"="C:\Program Files\Astrumsoftware\uninst.exe"
"URLInfoAbout"="http//www.virtrigger.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Astrumsoftware\Astrum.exe"="C:\Program Files\Astrumsoftware\Astrum.exe:*:Enabled:Astrum"
   
[HKEY_CURRENT_USER\software\Astrumsoft]
 "aid"="1"

[HKEY_CURRENT_USER\software\Astrumsoft\Update]

[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run]
"Astrum"=""C:\Program Files\Astrumsoftware\Astrum.exe""


위 바이러스 토탈 검사 결과로는
현재 국내에서 사용되는 백신중
알약 , kaspersky,Hauri가 진단중임이 확인됩니다 . 

수동 삭제가 필요한 경우 위에 제가 적은 파일/레지스트리 변경 사항을 
아래의 글에 적용 , 응용해 보시기 바랍니다 .

 2009/02/02 - [유용한 팁들] - 레지스트리 항목(.reg) 파일 사용법

 


저작자 표시 비영리 변경 금지
신고
 

글벌레의 블로그에서 윗글과 관련된 글벌레의 다른 글 또는 원하시는 내용을 찾아보세요 .
(컴퓨터 관련 또는 기타 검색 시는 키워드 검색을 하세요 . 예 - 프로세스 익스플로러)
(TV 드라마 또는 영화 관련 검색 시는 드라마/영화 제목으로 검색하시면 됩니다.)

검색 예시 - 예를 들어 구가의 서라고 검색하시면
구가의 서와 관련된 글벌레의 모든 리뷰들을 보실 수 있습니다.

 
 
Posted by 글벌레

댓글을 달아 주세요