-
Window 보안이 식별한 PUA:Win32/PresenokerIT-Information/Issues 2022. 5. 27. 06:54
개요
window 보안 앱에서 PUA:Win32/Presenoker, Program:Win32/Vigram.A 두가지를 식별하며 위협이 있을 수 있다고 경고했다.
최근 불특정 사이트 등으로부터 파일을 보내거나 받는 행위를 하는 과정에 중간 단계에 악의를 품은 유저가 침입하여 악성코드를 심거나 바이러스를 퍼트려, 정보 탈취 또는 좀비 컴퓨터를 만드는 일이 종종 일어난다. 물론 얻어갈게 없는 개인에게 하겠냐고 생각할 수 있겠지만말이다.
악성코드 또는 바이러스를 방지하기 위해 백신을 사용하곤 하지만 100% 완벽한 것은 없다.
Presenoker는 어떤 것인가
PUA:Win32 / Presenoker는 해당 프로그램이 웹 브라우저 실행 시 사용자가 의도하지 않는 행동을 수행한다. 사용자가 특정 내용을 표시할 것을 지시하지 않았는데, 사용중인 웹페이지 상단 또는 하단에 광고를 표출 시킨다.
이 프로그램은 광고 애드웨어의 하나로 악성코드 제작자가 미리 정해둔 사이트의 광고 노출로 특정한 이익 또는 목적을 가지고 있다.
이 프로그램이 사용자의 PC를 망가뜨리는 큰 악성코드는 아니지만 웹페이지를 열때마다 광고 창을 띄우거나 특정 영역에 광고를 생산하게된다.
Presenoker 감염경로
대부분 프로그램은 무료로 배포하는 파일을 통해 감염되며, 공식 홈페이지 이외의 곳에서 다운받을때는 필히 바이러스 검사 후 사용해야 한다.
악성 애드웨어의 경우 PC를 손상시키지 않아 가볍게 넘어갈수 있지만, 애드웨어가 만든 광고에 사용자가 의도치 않게 클릭하여 백도어로 인한 추가 피해를 만들수도 있다.
검사 및 치료는
현재 사용중인 백신, 마이크로소프트에서 제공하는 윈도우 디펜더를 통해 발견하고 치료가 가능하다.
Program:Win32/Vigram.A 은 무엇일까
먼저 마이크로소프트 보안 인텔리전스에서는 중증수준으로 분류하고 있었다.
별칭 : HEUR:Hoax.MSIL.Seguras.gen(카스퍼스키)
플랫폼 : 윈도우
경로
원하지 않는 응용 프로그램은 다른 맬웨어에 의해 삭제된 파일이나 사용자가 악성 사이트를 방문할 때 자신도 모르게 다운로드한 파일로 시스템에 도착하게된다.
해결책
1. 검퓨터 전체 검사를 시작
2. 레지스트리 값 확인 후 수정 (주의 레지스트리는 잘못 수정시 오작동이 발생될 수 있음)
- HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\services\eventlog\Application
- AutoBackupLogFiles = "0"
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\Application\SAntivirusSvc 에서
- EventMessageFile = "%Windows%\Microsoft.NET\Framework64\v2.0.50727\EventLogMessages.dll"
3. 윈도우11에서는 저렇게 바로 제거 버튼을 제공하고 있다.
본인은 레지스트리는 수정하진 않음
- HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\services\eventlog\Application