PC를 사용하다가 갑자기 설치해둔 네이버백신이 바이러스를 발견했다며 다음과 같은 창을 보여주었습니다.
그런데 바이러스 명이 익숙한(?) 명칭이 아니라 좀 낯선 Win-AppCare/Exploit.Np 이라는 이름이였습니다. 일반적인 경우라면 그냥 넘어갔겠지만 감염파일의 위치를 확인해 보고 또 관련 정보를 확인해 보았습니다.
nProtect Netizen 보안프로그램의 일부 파일이 감염파일의 위치로 확인되었습니다. 보안프로그램은 금융권이나 공공기관 사이트접속시 활용되는 중요한 프로그램이므로 바이러스에 감염되었다면 좀 심각해 보였습니다.
개인적인 경험상 바이러스에 감염된 파일이 발견되어 치료하더라도 다른 파일에서도 감염이 있고 하나의 백신프로그램에서 모두 잡아내지 못합니다.
따라서 네이버백신이 아닌 AVAST 바이러스 백신 프로그램을 별도로 설치하여 정밀 시스템 검사를 진행하였습니다.
하지만 네이버백신이 잡아낸 Win-AppCare/Exploit.Np 바이러스를 AVAST는 잡아내지 못했습니다. AVAST 보다 네이버백신이 더욱 우월한 성능을 보여주는 것일까요?
네이버백신이 발견한 Win-AppCare/Exploit.Np 정말 바이러스일까?
검색을 통해서 확인해 본결과 nProtect Netizen 파일을 감염시킨 Win-AppCare/Exploit.Np는 바이러스가 아니였습니다.
nProtect Netizen 보안프로그램의 원격코드 보안취약점 때문에 네이버백신등에서 일부러 검색되게 만든것입니다. 관련 인터넷 침해대응센터의 보안공지 포스트는 이곳에서 보실수 있습니다.
npenkInstaller5.dll 파일이 원격코드에 의한 보안취약점이 있고 이를 사용자가 재설치하도록 유도하기 위해서 바이러스 백신프로그램에서 진단되도록 한것입니다.
위의 보안공지에서 안내된 파일명과 바이러스가 감염되었다고 나온 파일명이 동일합니다. X64는 64비트 OS용으로 추가된것으로 보시면 되겠습니다.
그러면 어떻게 조치하면 될까요?
제어판 – 프로그램 추가 삭제에서 nProtect 보안 프로그램(제작사 INCA internet)을 확인한 후 모두 제거해 주었습니다.
nProtect 보안 프로그램이 필요한 금융사이트나 공공기관 사이트를 방문하게 되면 자동으로 보안취약점이 해결된 최신버전을 다시 다운로드 하게 할 것이기 때문에 굳이 최신버전을 다운로드 받아 재설치하실 필요는 없습니다.
이처럼 바이러스 백신이 바이러스를 발견했다면 그 내용을 꼼꼼하게 확인해 보실 필요가 있겠습니다.
- 워드프레스 테마 오픈마켓 테마포레스트- Theme forest
- 워드프레스 추천테마 관련 포스트 - AVADA / JARIDA / SAHIFA / GOODNEWS