|
브라우저의 시작페이지가 변경됐다면 악성코드 감염 의심 AhnLab / 2015-06-30
브라우저는 포털 사이트에서 뉴스를 보고, 메일을 주고받으며, 온라인 쇼핑, 인터넷 뱅킹 등 많은 것을 가능하게 한다. 브라우저가 많은 기능을 제공하는 만큼 대부분 사용자는 PC가 켜지자마자 브라우저를 실행하곤 한다. 그러나 많은 기능을 제공하는 브라우저가 시작 페이지를 변경하는 악성코드에 감염될 수도 있으므로 이용 시 주의가 필요하다.
[그림 1] 레지스트리 변조 스크립트
[표 1]과 같이 악성코드는 VBS 확장자의 스크립트이며 내용은 레지스트리를 변경하도록 구성돼 있다.
[표 1] 레지스트리 등록
악성코드는 브라우저인 인터넷 익스플로러의 시작 페이지를 변경하도록 레지스트리를 변경한다. 또한, PC가 재부팅될 때마다 악성코드가 동작하도록 레지트리 Userinit 키 값을 변경했다.
또한, 악성코드는 [표 2]의 사이트로 시작 페이지를 변경했다.
[표 2] 변경된 시작 페이지 URL
그러나 분석 당시에는 페이지 접속이 되지 않았다.
[그림 2] 브라우저의 인터넷 옵션 화면
[그림 2]에서 브라우저 인터넷 익스플로러의 도구 → 인터넷 옵션 → 일반 탭에서 홈페이지가 변경됐음을 확인할 수 있다. 사용자가 시작페이지를 변경해도 PC가 재부팅될 때마다 악성코드가 실행되므로 원하지 않는 사이트로 연결이 지속된다. PC에서 해당 악성코드를 제거한 후 [그림 2] 화면에서 사용자가 원하는 시작페이지를 입력하고 [다음]을 적용하면 더이상 악성코드가 변경한 사이트로 연결되지 않는다.
분석 당시에는 사이트로 연결되지 않았지만 연결된 후에는 악성 파일 다운로드, 개인정보 탈취를 목적으로 하는 피싱 페이지에 연결되거나 광고를 목적으로 하는 사이트로 연결되는 등 추가 악성 행위가 이뤄질 수 있다. 따라서 브라우저의 시작페이지가 원하지 않는 주소로 변경됐을 때에는 악성코드 감염을 의심하고 백신의 정밀검사를 통해 악성코드를 진단하고 치료해야 한다. @ |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 스마트폰 분실 예방법과 도난 시 대처법 (0) | 2015.07.22 |
|---|---|
| 안랩, ‘파이어폭스 플러그인’ 위장 악성코드 주의 당부 (0) | 2015.07.21 |
| 브라우저의 시작페이지가 변경됐다면 악성코드 감염 의심 (0) | 2015.07.11 |
| 올 여름휴가 가장 필요한 보안 TIP은? (0) | 2015.07.10 |
| 멀티 디스플레이 환경 구축 가이드 “어렵지 않아요!” (0) | 2015.07.03 |