2013년 11월 26일 화요일

악성 스크립트를 이용한 특정사이트 접속유도

1. 개요
 인터넷상에서 웹 서핑을 하다가 특정 사이트를 접속하면 자신도 모르는 사이에 웹 브라우저의 시작 페이지가 성인 사이트나 광고 사이트로 변경되어 있고 때로는 일정한 시간 간격으로 특정 사이트의 광고 창이 뜨거나 즐겨찾기 메뉴에 등록되어 있는 현상이 최근 들어 많이 발견되고 있다.
2. 원인
 위와 같은 방법은 얼마 전의 Gohip 사건과 같이 특정 사이트가 광고효과를 높이기 위해 웹사이트를 접속하면 이 웹사이트에 프로그램 되어져 있던 Java Script 나 ActiveX Component들이 자동으로 접속자의 시스템에서 실행되어 웹 브라우즈의 초기시작페이지 및 컴퓨터의 부팅 시에 자동으로 시작되게 하는 레지스트리 키 값을 추가하거나 변경한다. 이렇게 레지스트리 값이 변형이 되면 일반적인 웹 브라우즈의 초기화 설정을 바꾸는 방법으로 복구하여도 다시 재부팅하면 레지스트리 값이 예전의 값을 가지고 있어 다시 특정사이트로 접속하게 되므로 레지스트리를 잘 알지 못하는 일반 사용자들은 당황하여 시스템을 다시 설치하는 경우도 있다.
3. 증상 및 치료방법
 대표적인 증상은 단계별로 아래와 같은 3가지로 정의해 볼 수 있다.
1) 웹 브라우즈 시작 페이지 변조
 웹의 시작페이지만 변경되어 있고 홈페이지 설정을 바꾸면 정상적인 홈페이지가 열리지 만 재부팅 후 다시 변경된 홈페이지가 열리는 경우이다.

이와 같은 증상은 레지스트리 편집기 시작 페이지와 관련된 레지스트리 Key인
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]만 변경한 경우로
Start Page" 에서 변경된 웹페이지 주소를 제거하고, "원하는 사이트 주소"를 넣으면 된다.
 * 복구순서
⸁ 레지스트리 실행
⸂ 레지스트리 키 찾기
- 원하는 키 값을 찾는다
⸃ 원하는 킷값으로 변경하기
⸄ 수정 후 시스템 재부팅 하여 확인
2) 일정한 시간 간격으로 특정 페이지 팝업
 시작할 때 자동으로 시작하게 등록할 수 있는 레지스트리인
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run
항목 중에 특정 파일이 심어져 있다. 위의 레지스트리 편집 과정으로 확인해 보면 몇몇 응용프로그램들이 등록되어 있을 것이다. 이중에서 최근에 생성된 파일이나 생소한 파일을 찾아서 확인해 보아야 한다. 그 중에서도 특히 확장자가 "hta"인 파일을 발견할 수 있을 것이다.
 ( 이외에 다른 파일이 올 수도 있다 )
 * 복구순서
⸁ 1)번 현상과 같은 방법으로 레지스트리 값을 확인한다.
⸂ 생성된 레지스트리 값을 확인하고 지울 파일의 경로를 알아둔다.
⸃ 현재 실행되고 있으므로 그냥은 지울 수 없고 Ctrl+Alt+Del키를 누른 후 현재 실행되고 있는 관련 프로세스를 죽인다.
⸄ 생성된 파일을 지우고 재부팅 한다.

Win32.hta 파일의 내용을 보면 1시간 간격(3600000초)으로 특정 사이트가 뜨게 프로그램 되어 있는 것을 알 수 있다..
3) 레지스트리를 수정하여도 재 부팅후 같은 증상이 나타나는 경우
 이 같은 경우는 재 부팅 시에 텍스트 파일을 /s 옵션을 이용하여 다시 변경시키는 경우로 관련 파일을 지우고 레지스트리를 수정하면 된다.
 * 복구순서
⸁ 2)번 현상과 같은 방법으로 관련 파일을 확인 후 프로세스를 중지하고 해당 파일을 지운 후 재 부팅 한다.
rad0A76E 파일을 확인해 보면 역시 레지스트리를 변조하여 특정사이트로 이동하게 되어있다.
만약 웹브라우즈가 특정사이트로 이동한다든지 특정사이트를 거쳐서 창을 표시한다면 아래의 레지스트리를 검사해 보기 바란다.
 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
 "Start Page"="특정사이트"
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
 "Start Page"="특정사이트"
 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
 "Search Page"="특정사이트"
 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
 "Search Bar"="특정사이트"
 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
 "SearchURL"="특정사이트"
 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 "CustomizeSearch"="특정사이트"
 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 "SearchAssistant"="특정사이트"
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
 "Search Page"="특정사이트"
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
 "Search Bar"="특정사이트"
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer]
 "SearchURL"="특정사이트"
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
 "CustomizeSearch"="특정사이트"
 [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
 "SearchAssistant"="특정사이트"

4. 결론
 이와 같은 정상이 일어나는 것은 마이크로소프트사의 Internet Explore의 취약점인 "Microsoft virtual machine vulnerability"를 이용한 것으로 패치를 하면 자동으로 실행되는 것을 막을수 있다.
패치 사이트
http://www.microsoft.com/java/vm/dl_vm40.htm
 * gohip 사이트와 관련된 것은 이 사이트에서 전용 제거툴을 제공하고 있으니 아래의 링크 에서 제거툴을 사용하여 제거하기 바란다.
http://www.gohip.com/remove.exe

댓글 없음:

댓글 쓰기