playXP

해당 포럼 : http://gtaforums.com/topic/794383-malware-inside-angry-planes-noclip-mod/

Simple Noclip

Angry Planes

위 두 모드에서 발견됬다고 하는군요. Noclip은 저도 딱 한번 사용했었는데 예외 없이 발견됬습니다. 쓰셨던 분들은 꼭 확인토록 하세요.

두 모드를 설치하고 '게임을 실행하면' 모드 파일 내에 있는 코딩을 통해 악성 소프트웨어를 다운로드 받게 되어있습니다. 아무래도 게임 자체가 실행될 때에야 작동하다보니까 대부분의 보안 프로그램이 발견하지 못했습니다. 현재는 갑자기 크게 문제되면서 사람들이 신고해서인지 꽤 많이 발견해 낸다고 합니다.

무튼, 모드 설치하고 게임이 실행되면 C:\사용자이름\Administrator\AppData\Local 안에 "Fade.exe" / "Init.exe" / 그리고 .z라는 이름 없는 압축파일이 만들어지고 이게 키로깅 프로그램이고 각종 데이터, 컴퓨터 사용내역을 전송하도록 되어있습니다. 저는 아바스트가 알아서 삭제해서 어떤 폴더에 있는지는 모르겠지만 랜덤한 이름의 폴더 안에 있다고 하니 잘 찾아보시길... 그리고 Session(숫자) 라고 하는 로그 파일이 생성되는데 이게 수집한 데이터라고 합니다.

그리고 GTA V 설치 폴더 내에 x64 GTA5.exe 이런 파일이 또 생성되는데 마찬가지로 삭제해 주셔야 합니다. 파일 정보를 보면 전자서명도 없고 설명도 수상하게 쓰여있고...

마지막으로 레지스트리에서 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 에 들어가서 shell 에 "explorer.exe" 뒤에 Fade나 이런 게 추가되어있나 확인해보셔야 합니다.

이후에 바이러스 검사 후 각종 사이트 비밀번호를 바꾸시길...