Win 7 Internet Security 2012, 일단 설치되면 시스템 치명상

DHL 허위 운송 메일을 이용한 악성프로그램 유포가 벌써 몇 년 전부터 계속되고 있는데, 오늘 제가 받은 메일에 포함된 것은 가짜 백신이었습니다.
프로그램 이름은 Win 7 Internet Security 2012로 일단 실행되면 모든 프로그램 작동을 가짝 백신이 중지 시킵니다.
해당 메일은 아래 그림과 같이 Dhl Customer Services에서 배달 주소 오류에 관한 내용으로 보내졌으며 Post_Label_US.zip 파일이 첨부돼 있었습니다.

 

압축을 풀고 바이러스 검사를 했지만 시스템을 위협할만한 위험 요소는 없는 것으로 나왔습니다. 그리고 압축을 풀때까지만 해도 시스템은 이상이 없었고요.
압축 파일 안에는 텍스트 파일 여러 개와 pdf 형식의 파일 한 개가 포함돼 있었습니다.
텍스트 문서는 system이라는 폴더에 숨겨져 있었으며 pdf 파일을 여는 순간 가짜 백신이 컴퓨터에 설치되면서 시스템에서 오류가 발생하기 시작합니다.

 

윈도우탐색기부터 해서 거의 모든 프로그램의 작동을 차단합니다. 시스템구성유틸 또는 레지스트리편집기도 모두 차단되며 인터넷익스플로러 역시 차단됩니다.
시스템복원도 작동하지 않기 때문에 사용자가 뭔가를 해 볼 수 있는 여지를 주지 않습니다. (캡쳐가 불가능하여 사진을 찍었더니 그림이 깨끗하지 못합니다.)

 

 

윈도 7 관리센터의 보안 경고 메시지를 확인 해 보니 이 가짜 백신이 시스템 백신으로 등록돼 있고 바이러스 방지 프로그램이 꺼져 있으니 프로그램을 실행하여 문제를 해결할 것을 권하고 있습니다.

저의 경우는 허위 메일이라는 사실을 알았지만 어떤 방식으로 컴퓨터를 감염시킬지 궁금하여 첨부파일을 일부러 실행을 했습니다만 문제를 해결하는 것이 결코 만만치 않았습니다.

결국, 안전모드로 부팅하여 시스템복원을 시도하여 원상태로 돌리기는 했습니다만, 그것도 안전모드 부팅 후 조금만 시간이 지체되면 가짜 백신이 작동되어 시스템복원도 작동하지 못하게 차단합니다.

인터넷에 이와 같은 가짜백신만 삭제하는 프로그램들이 올라와 있습니다만 일단 감염되면 인터넷을 사용할 수 없게되니 그 또한 소용이 없습니다.
Dhl 관련 허위 메일은 절대 열지 마시고 받은 즉시 삭제하는 것이 좋겠습니다.