AdvancedKeyLogger.1212904

Win-Spyware/AdvancedKeyLogger.1212904 

 

Win-Spyware/AdvancedKeyLogger.1212904는 사용자의 키입력을 감시하는 스파이웨어이다. 감시하는 키 입력 정보는 윈도우 디렉토리의 tm-log.log로 저장하며, 미리 지정한 이메일 주소로 전송이 가능하다.


[폴더 및 파일]

Win-Spyware/AdvancedKeyLogger.1212904가 생성하는 폴더 및 파일은 다음과 같다.

%SYSTEM%\MSIDLLSI.DAT
%SYSTEM%\TMLib.dll
%SYSTEM%\TMUtils.dll
%WINDOWS%\IDDE\License.txt
%WINDOWS%\IDDE\Setup.exe
%WINDOWS%\IDDE\Uninstall.exe
%WINDOWS%\IDDE\kmonitor.exe
%WINDOWS%\IDDE\manual.chm
%WINDOWS%\IDDE\register.bat
%WINDOWS%\IDDE\setup.log
%WINDOWS%\IDDE\trace.exe
%WINDOWS%\IDDE\uninstall.bat
%WINDOWS%\IDDE\wrk.log
%WINDOWS%\SYSTEM\setup.log
%WINDOWS%\SYSTEM\svchost.exe

※ %WINDOWS% 폴더는 시스템마다 다를 수 있으며 일반적으로 다음과 같다.

Windows 9x/ME/XP - C:\Windows
Windows NT/2000 - C:\WINNT

※ %SYSTEM% 폴더는 설치되어 있는 운영체제마다 그 경로가 각각 다르며 일반적으로 다음과 같다.

Windows 9x/Me - C:\Windows\system
Windows NT/2000 - C:\WINNT\system32
Windows XP - C:\Windows\system32


[레지스트리]

Win-Spyware/AdvancedKeyLogger.1212904가 생성하는 레지스트리는 다음과 같다.

HKCR\CLSID\{DEE6806C-FB33-D04C-E1C6-8DA9B2204850}
HKCU\SOFTWARE\Licenses\{004015E42FBB54A1D}
HKCU\SOFTWARE\Licenses\{I04015E42FBB54A1D}

svchost이름의 윈도우 서비스 프로그램으로 자동 실행된다.

Keylogger는 키입력을 모니터링하는 프로그램이다. 사용자의 ID, 암호 같은 중요 개인정보를 저장할 수 있으며, 저장된 키 입력 정보는 자체기능 또는 다른 악의적인 목적의 프로그램을 이용하여 공격자에게 전송될 수 있다. 백그라운드로 동작하는 것이 보통이며, 원격제어 도구 같은 다른 해킹 프로그램과 같이 발견되는 경우가 많다.

 

치료법

 

 

* SpyZero 사용자

1. SpyZero 2.0 실행 후 [업데이트] 버튼을 클릭하여 최신 엔진 및 패치 파일로 업데이트 한다.

2. 검사할 드라이브를 지정하고 검사를 시작한다.

3. 검사가 완료되면 [확인] 버튼을 클릭하고, [전체선택]또는 필요한 치료 항목을 선택하고 [치료]를 선택한다.

자세한 사용법은 SpyZero 2.0 [도움말] 버튼을 클릭하여 도움말을 시작하여 참고할 수 있다.

* SpyZero ASP 사용자

1. SpyZero 서비스 주소(http://clinic.ahnlab.com/clinic/spyzero.html)에 접속해 [검사하기]메뉴나 메인페이지 하단의 [SpyZero 실행]버튼을 클릭해 시작한다. 만약 SpyZero의 액티브 X 컨트롤이 설치되어 있지 않다면 '보안 경고' 창에서 '예'를 눌러 설치한다.

2. SpyZero 검사창이 나타나면 [검사] 항목에서 원하는 검사 수준을 선택한다.

3. 검사가 완료되면 [확인] 버튼을 클릭하고, [전체선택]또는 필요한 치료 항목을 선택하고 [치료]를 선택한다.

주) 서비스 형태에 제거(삭제)시 별도의 결제를 요청 할 수 있다.

자세한 사용법은 다음 주소를 참조하면 된다.

- http://clinic.ahnlab.com/clinic/spyzero_howto_01.html

 

예방법

 

 

* 스파이웨어에 대한 일반적인 정보

좁은 의미의 스파이웨어는 적절한 사용자 동의 없이 사용자 정보를 수집하는 프로그램을 지칭하며, 넓은 의미의 스파이웨어는 적절한 사용자 동의 없이 설치되어 불편을 야기하거나 사생활을 침해할 수 있는 프로그램을 의미한다. 넓은 의미의 스파이웨어는 잠재적으로 원하지 않은 프로그램(PUP: Potentially Unwanted Program) 등 으로 부르기도 한다. 이 정보에 사용된 ‘스파이웨어’ 용어는 별도의 설명이 없는 경우 넓은 의미의 스파이웨어를 지칭한다.

일반적으로 스파이웨어는 데이터의 훼손 같은 직접적인 피해를 입히지 않지만 시스템 성능을 눈에 띄게 저하시키거나 프로그램 자체의 오류로 시스템에 치명적인 장애를 일으키기도 한다.

스파이웨어의 주요 감염 경로는 다음과 같다.

- 프리웨어(Freeware), 셰어웨어(Shareware) 프로그램의 번들로 설치된다.
- 불특정 웹 사이트 방문 시 ActiveX로 적절한 사용자 동의 없이 설치된다.
- 다운로더, 드롭퍼 와 같은 다른 스파이웨어, 악성코드에 의해 설치된다.

스파이웨어의 대표적인 증상은 다음과 같다.

- 개인 정보, 시스템 정보, 식별자, 인터넷 사용 습관, 검색어 등을 수집한다.
- 웹 브라우저 시작페이지를 특정 주소로 변경시키고 고정한다.
- 사용자의 키 입력 내용을 감시하여 저장, 원격지로 전송한다.
- 웹 브라우저의 보안 수준, 방화벽 설정과 같은 중요 설정을 변경한다.
- 원하지 않는 광고를 팝업, 팝언더 등과 같이 다양한 방법으로 노출한다.
- 특정 웹 사이트 방문을 유도하기 위해 다양한 위치에 바로가기 생성한다.
- BHO, 도구 모음과 같은 확장으로 설치되어 다양한 증상을 발생시킨다.
- 주소 표시줄 입력 내용을 감시, 원격지로 전송하고 특정 사이트로 연결한다.
- 높은 요금이 부과되는 전화 접속으로 인터넷에 연결한다.
- 사용자의 클릭을 유도하여 특정 사이트, 광고의 노출 횟수를 늘린다.
- 백신, 안티스파이웨어와 같은 보안프로그램이나 정상 프로그램의 설치, 운영을 방해한다.
- 실행 중인 사실을 숨기거나 종료, 제거할 수 없는 프로그램을 생성한다.

* 스파이웨어 피해의 예방법

- 신뢰하는 제작사가 제공하는 소프트웨어만 사용한다.
- 불특정 웹 사이트에서 설치하는 ActiveX 프로그램은 꼭 필요한 경우에만 설치한다.
- 인터넷 상에서 쉽게 구할 수 있는 프리웨어(무료프로그램)에 스파이웨어가
  포함되어 있는지 점검하고 검증된 경우에만 사용한다.
- 최신 버전의 보안 업데이트를 설치하고 유지한다.
- 실시간 감시 기능이 있는 최신 버전의 백신 및 안티스파이웨어 프로그램을 사용한다.