울스: 악질 악성코드 - System Progressive Protection 해결방법

직장에서 모직원PC가 인터넷 접속이 안된다고해서 간단한 문제인줄알고 퇴근시간무렵에 쫄래쫄래가서 화면을 봤는데 평소같은 가짜백신 프로그램이 신나게 파일을 스캔하고 있었다..

이때까지는 뭐 프로그램 추가/삭제를 하면 괜찮겠지 싶었는데 이녀석이 악질인게 실행중인 상태를 멈추려고 작업관리자를 실행하면 차단시키고, 심지어 백신(바이러스 체이서)마저 실행을 멈추게 한다음 완전 지세상인것처럼 PC를 점령하고 있었다..

순간 아~ 이거 보통녀석이 아니겠구나 싶어 레지스트리 편집기를 실행하여 부팅할때 실행안되게끔 손써야지 하고 레지스트리 편집기를 실행해도 차단..

그때 번쩍든 생각이 운영체제의 안전모드라는게 있다. 부팅후 F8키를 누르면 XP로고 나오기전에 검은색 바탕에 안전모드 1번을 선택하여 부팅시 운영체제 기본 프로그램만 실행되게끔 차단하여 작업할수 있는 숨겨진 모드가 있는데, 안전모드에서 레지스트리 편집기를 실행하여 사용자 폴더에 숨겨진폴더 하부에 있는 녀석을 시원하게 날려버리면 된다.

삭제는 간단했지만 녀석의 위험성이 큰게 멀쩡한 바이러스 백신을 멈추게 하고 인터넷 익스플러를 실행하면 웹페이지를 차단하는 악질;; 이런게 어디서 어떻게 들어왔는지 그 직원PC만 여러번 불려갔는데 아마 쇼핑몰에서 엑티브엑스로 설치를 유도했겠지?

아래는 녀석의 샘플(?)실행파일을 복사해와서-이건 전쟁무기로 치면 생화학적인 테러무기급.. 어떤블로그에는 악성코드를 암호걸어 배포하던데 더 큰일나기전에 지워주시길.. 연구는 개뿔 상대방PC에서 악성코드를 실행하는 순간 바로 게임 시작인데;- 내 PC를 마루타 실험대상으로 화면을 추출하기 위해 실행해보았다.

참고로 사용중인 백신은 윈도우 기본 MSE(Microsoft Security Essentials) 1.139.174.0 버젼과 IE9버젼이 잘 차단하여주었다.

▷ 네이버 무어무어(dongju9795)님 블로그 - 시스템 복원까지는 실행하지 않아도 된다.
▷ VIRUSES(해외) - How to remove System Progressive Protection?

▷ 해외에서 만든 가짜백신인가보다. 국내 가짜백신은 이정도로 악질이지 않고 프로그램삭제할때 화면에 문자를 입력해야 삭제되게끔 만들었는데 이녀석에 비하면 애교수준일듯..
컴퓨터가 스파이웨어에 감염되었다는 한마디와 함께 이후 백신을 포함한 모든 실행프로그램은 강제종료~

▷ 백신의 성능이 좋아야 실시간으로 잡아낼수 있다.
직장에 설치된 바이러스체이서는 이전에 쓰던 V3 IS 7.0 를 능가하는 눈뜬 장님 백신이다. 혹시 직원들이 뭐하는지 정보수집하는데 주 목적이 있지않나 싶을만큼 멍청한 백신이다.
실시간검사를 켜놔도 바이러스에 걸리다니.. 물론 업데이트는 4시간마다 주기적으로 받아오고 있었다;;
반면 윈도우 기본 백신인 MSE는 실시간 켜두면 알아서 차단시키기 때문에 위 바이러스 화면을 찍기위해 일부러 실시간검사를 꺼주어야;; 악성코드 구경할수 있었다.
진정 사내 보안망을 위한다면 값싼 국내백신보다도 성능좋은 해외서도 검증된(인터넷으로 해외 바이러스가 유입될수 있기에..) 백신을 구입하길 부탁한다.

▷ 해결방법은 안전모드로 진입하여 레지스트리 편집기를 실행하여(시작메뉴→실행→Regedit) 시작프로그램이 있는 HKEY_CURRENT_USER→Software→Microsoft→Windows→CurrentVersion→Run또는 RunOnce에 등록된 녀석의 키와 폴더위치를 찾아 삭제해주면 다음번 부팅때 실행되지 않는다.
폴더에는 위 3개의 설정파일, 아이콘, 실행파일로 구성되어 있다.
파일명은 랜덤으로 생성하기때문에 위 파일명이 아닐수도 있다. 정확한 위치는 레지스트리에 등록된 키의 폴더위치를 보고 역추적해야한다.
이런걸보면 바이러스백신 만든사람은 참 위대하다고 생각된다..
현실에서도 악성코드가 백신을 검증하는 사상초유의 사태가 벌어지고 있는데 모두 싹쓸어 버렸으면 한다.

+ 구글에서는 악성코드를 배포하는 곳도 광고하는게 사실이구나;; 실망이다.