[안랩 온라인 시큐리티] Win-AppCare/Agent.43520.D Win-AppCare 진단명과 해결법. / isupdate.exe는 kmspico 윈도우/오피스 정품인증 크랙이 심은 악성코드 제거

인터넷뱅킹을 이용하려고 농협에 접속했다.

Win-AppCare(윈 앱케어)로 시작하는 악성코드를 발견했다고 경고창이 떴다.

안랩 온라인 시큐리티 프로그램이 동작한 것이다.

Win-AppCare는 정상적인 프로그램이지만, 악의적으로 활용될 가능성이 있는 경우 유해 가능 프로그램으로 분류하여 백신 등에서 진단할 때 사용되는 네이밍이다.

즉, 이 악성코드는 진짜 악성코드는 아니기 때문에, 사용자가 필요한 목적으로 사용하는 프로그램이라면 안랩온라인시큐리티는 별도 설정할 수 없지만, 

V3에서는 바이러스검사-검사설정-수동검사-사전검사영역선택-사용자지정을 클릭해서 "유해 가능 프로그램" 체크를 해제하거나, 

특정 프로그램이 확인될 경우에는 "예외 프로그램 설정"을 클릭해서 진단명을 추가하면 V3 검사에서 제외시킬 수 있다.

알약은 이 악성코드를 탐지해내지 못했다. 

하지만 만약 향후 탐지가 되고, 치료하고 싶지 않다면, 환경설정에서 탐지 제외에 추가 해주면 된다.

이 번에 내 컴퓨터에서 발견된 악성코드라는 녀석은 사실 내가 설치한 프로그램이다.

오피스 정품인증을 위해서 설치했던 프로그램인데 kmspico 라는 프로그램이다.

악성코드의 파일경로가

C:\Program Files (x86)\installshield\isupdate.exe

에서 탐지되었다.

저 폴더는 바로 kmspico가 사용하는 폴더다.

이와 관련해서 심오하게 연구하신 분이 있는데...

http://ryusstory.tistory.com/314

에서 이 녀석을 진압하기 위해서 힘쓰신 분이다.

전혀 눈치를 채지 못하고 있었는데, 이 분 블로그를 보고 나도 윈도우 리소스 모니터 [시작 - 실행 - "resmon"]를 열어보니 Ryu님만큼은 아닌데 isupdate.exe가 네트워크 자원을 활용하고 있음을 확인할 수 있었다.

류 님은 무턱대고 \installshield\ 폴더를 삭제했더니, 프록시 서버가 응답하지 않게 되었다고 한다.

사실 백신이 isupdate.exe를 악성코드로 진단하기 전에 kmspico 가 문제를 일으킨 적이 있어서 kmspico를 프로그램 제거에서 이미 제거를 해버렸었다.

그런데 저 폴더가 계속 남아 있는 것은 미처 확인하고 있지 않았다.

류 님과 달리, kmspico가 뿌리는 악성코드를 해결하기 위한 가장 확실한 방법은 일단 1차적으로 kmspico를 프로그램에서 제거하고, v3로 돌려서 악성코드를 치료하는 법이다.

v3로 악성코드를 치료하고 난 뒤 브라우저를 열면 프락시 서버에 연결할 수 없습니다.라고 나온다.

v3로 치료한 후에 이렇게 떴다면, 크롬이건 IE건 어느 쪽에서든 프락시 설정 변경을 열어서 

사용자 LAN에 프록시 서버 사용(이 설정은 전화 연결이나 VPN연결에는 적용되지 않음)에 체크된 것을 제거하면 kmspico로 인한 악성코드 제거는 끝난다.

간혹 위의 프록시 서버 설정을 제거하려고 해도 제거가 안된다면, 레지스트리 에디터를 열어서 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]

의 ProxySettingsUser 어쩌고 항목 자체를 삭제하면 된다.

이 글의 처음에서 진단 제외하는 방법을 알려줬지만, 그것은 악성코드 의심 프로그램이지만 반드시 필요로 할 때 진단에서 제외시키는 방법에 대한 설명이다.

kmspico는 제거돼야 한다.

윈도우나 오피스 정품 인증은... 뭐... 한 번이면 족하지 않나?^^;

16.03.16 18:18