본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

PC에서 재생한 음악, 다른 모바일 기기로 스트리밍하는 방법

by 파스칼바이런 2015. 7. 12.

브라우저의 시작페이지가 변경됐다면 악성코드 감염 의심

AhnLab / 2015-06-30

 

 

 

 

브라우저는 포털 사이트에서 뉴스를 보고, 메일을 주고받으며, 온라인 쇼핑, 인터넷 뱅킹 등 많은 것을 가능하게 한다. 브라우저가 많은 기능을 제공하는 만큼 대부분 사용자는 PC가 켜지자마자 브라우저를 실행하곤 한다. 그러나 많은 기능을 제공하는 브라우저가 시작 페이지를 변경하는 악성코드에 감염될 수도 있으므로 이용 시 주의가 필요하다.

 

 

[그림 1] 레지스트리 변조 스크립트

 

[표 1]과 같이 악성코드는 VBS 확장자의 스크립트이며 내용은 레지스트리를 변경하도록 구성돼 있다.

 

 

[표 1] 레지스트리 등록

 

악성코드는 브라우저인 인터넷 익스플로러의 시작 페이지를 변경하도록 레지스트리를 변경한다. 또한, PC가 재부팅될 때마다 악성코드가 동작하도록 레지트리 Userinit 키 값을 변경했다.

 

또한, 악성코드는 [표 2]의 사이트로 시작 페이지를 변경했다.

 

[표 2] 변경된 시작 페이지 URL

 

그러나 분석 당시에는 페이지 접속이 되지 않았다.

 

 

[그림 2] 브라우저의 인터넷 옵션 화면

 

 

[그림 2]에서 브라우저 인터넷 익스플로러의 도구 → 인터넷 옵션 →​ 일반 탭에서 홈페이지가 변경됐음을 확인할 수 있다. 사용자가 시작페이지를 변경해도 PC가 재부팅될 때마다 악성코드가 실행되므로 원하지 않는 사이트로 연결이 지속된다. PC에서 해당 악성코드를 제거한 후 [그림 2] 화면에서 사용자가 원하는 시작페이지를 입력하고 [다음]을 적용하면 더이상 악성코드가 변경한 사이트로 연결되지 않는다.

 

분석 당시에는 사이트로 연결되지 않았지만 연결된 후에는 악성 파일 다운로드, 개인정보 탈취를 목적으로 하는 피싱 페이지에 연결되거나 광고를 목적으로 하는 사이트로 연결되는 등 추가 악성 행위가 이뤄질 수 있다. 따라서 브라우저의 시작페이지가 원하지 않는 주소로 변경됐을 때에는 악성코드 감염을 의심하고 백신의 정밀검사를 통해 악성코드를 진단하고 치료해야 한다. @