트위터 특성상 140자 이내로 트윗해야 하기에 Bit.ly, Goo.gl, j.mp, tw.gs, dok.do와 같은 Short URL 서비스를 많이 사용하고 있으며, 사람들은 이에 별다른 의심없이 Short URL을 클릭 합니다. 하지만 최근 이를 이용하여 스케어웨어 및 악성코드가 유포되고 있어서 사용자들의 주의가 필요합니다. short url과 트위터를 이용하여 유포되는 스케어웨어 중에서 국내에서도 많은 사람들이 피해를 본 스케어웨어는 단연 security shield 입니다.
security shield
security shield는 가짜 백신 FakeAV 입니다. 스케어웨어 security shield는 주기적으로 경고음과 함께 바이러스 혹은 악성코드에 감염 되었다는 경고문을 보여주며 사람들에게 겁을 준 후 바이러스 치료를 위해 결제하라는 메세지를 바탕화면을 가득 메울 정도로 뿌려 줍니다. 지속적으로 경고음과 많은 양의 메세지를 띄움으로써 정상적으로 pc를 사용할 수 없도록 방해합니다.
추천은 블로거에게 힘이 됩니다.
Security Shield는 C:\Documents and Settings\사용자명\Local Settings\Application Data\ 위치에 임의의 파일명으로 위치하게 될 뿐 제어판의 프로그램 추가/제거에 존재하지 않으며, c드라이브에도 임의의 이름으로 설치되기 때문에 사용자들은 Security Shield 제거 방법을 몰라 당황합니다.
security shield는 주로 트위터를 활용한 short url로 유포되고 있으며 위와 같은 goo.gl 링크를 클릭하게 되면 아래와 같은 m28sx.html 페이리로 이동되며 최종적으로 우크라이나 최상위 도메인 red.php로 이동되어 FakeAV인 SecurityShield 프로그램이 설치됩니다.
http://cainnoventa.**/m28sx.html
http://servizialcittadino.**/m28sx.html
http://aimos.**/m28sx.html
http://lowcostcoiffure.**/m28sx.html
http://s15248477.onlinehome-server.****/m28sx.html
http://www.waseetsto**.com/m28sx.html
http://www.gemini.**/m28sx.html
http://gdfgdfgdgdfgd**.**.ua/undo/red.php
혹은 **.104.208.** ip로 리디렉션 되어 설치
http://servizialcittadino.**/m28sx.html
http://aimos.**/m28sx.html
http://lowcostcoiffure.**/m28sx.html
http://s15248477.onlinehome-server.****/m28sx.html
http://www.waseetsto**.com/m28sx.html
http://www.gemini.**/m28sx.html
http://gdfgdfgdgdfgd**.**.ua/undo/red.php
혹은 **.104.208.** ip로 리디렉션 되어 설치
청소년들의 경우 토렌트를 이용하여 불법 다운로드를 이용하다가 설치되는 경우도 있기에 트위터 및 토렌트 사용에 주의가 필요합니다.
security shield 제거 및 삭제 방법
다음 지식에 가끔 접속하여 답변이 없는 질문에 답변을 하곤 하는데 최근 간간히 올라오는 질문이 바로 security shield 제거방법 입니다. 위에서도 언급했듯 security shield는 c드라이브에 임의의 이름으로 설치되고, 프로그램 삭제/추가에도 존재하기 않기 때문에 많은 분들이 security shield 제거 방법을 몰라 곤란해 합니다.
1. 백신을 활용한 security shield 제거
스케어웨어 security shield가 유포되기 시작한 12월에는 국내 백신은 물론 세계 유명 백신 43가지 중 security shield를 진단하는 백신은 5개 내외로 손에 꼽을 정도로 적었습니다. 하지만 지금은 대부분의 백신 프로그램에 업데이트 되어 감지 및 삭제가 가능합니다. 현재 사용중인 백신이 있다면 최신 업데이트를 받아 치료하는 것을 추천합니다.
2. Anti-Malware 사용하여 security shield 제거
Malwarebytes Anti-Malware는 Malware 및 해외 FakeAV를 제거하는데 도움을 주는 보안 프로그램입니다. 한글을 지원한다는 장점은 있지만 무료버젼은 실시간 감시, 악성 웹사이트 차단, 자동 업데이트 및 스케쥴 검사 기능을 사용할 수 없기 때문에 Malwarebytes Anti-Malware의 사용보다는 백신프로그램을 설치하는 방법을 권장해 드립니다. 자신이 사용하는 백신이 security shield를 진단하지 못하는 경우에만 사용하시기 바랍니다. 수동검사 도중 에러가 나는 경우 부팅시 F8을 눌러 안전모드로 들어가신 뒤 수동검사 하시면 됩니다.
http://www.malwarebytes.org/mbam-download.php - Anti-Malware 다운로드 주소
3. 수동으로 security shield 제거 하는 방법
security shield 레지스트 위치
HKEY_USERS\{User Profile SSID}\Software\Microsoft\Windows\CurrentVersion\Run\임의의 이름
HKEY_USERS\{User Profile SSID}\Software\Microsoft\Windows\CurrentVersion\RunOnce\임의의 이름
security shield 파일 위치
C:\Documents and Settings\사용자명\Local Settings\Application Data\임의의 파일명
C:\ProgramData\임의의 이름\임의의 파일명
security shield의 레지스트 위치와 파일의 위치, 파일명이 랜덤으로 설치되기 때문에 일반인이 수동으로 제거하기에는 무리가 있습니다. 하지만 위의 캡쳐 모습처럼 ProcessExplorer와 Autoruns를 이용하여 레지스트리 혹은 파일의 위치를 파악할 수 있기 때문에 안전모드로 부팅하면 수동으로 삭제가 가능합니다.
ProcessExplorer.zip - ProcessExplorer 다운로드 링크
Autoruns.zip - Autoruns 다운로드 링크
최근 security shield 외에도 트위터의 short url을 이용하여 다양한 악성코드가 유포되고 있기에 트위터 사용간 출처가 확실하지 않은 파일의 다운로드 및 웹페이지 링크의 열람을 자제해야합니다.