악성 스크립트를 이용한 초기화면 및 특정사이트 접속유도

Update : 2003.08.07

이완희(lwh@certcc.or.kr)

1. 개요

인터넷상에서 웹 서핑을 하거나 성인광고나 스팸광고 메일을 확인하다가 무의식적으로 화면에 뜬 보안경고창을 실행하여 악성프로그램이 실행되는 경우가 많다. 이후부터 인터넷 익스플로러를 실행하면 알 수 없는 특정 사이트가 초기 화면이 되어서 곤란을 겪는 경우도 있고 시작하지도 않은 인터넷 익스플로러가 일정한 시간 간격으로 특정 사이트의 광고 창을 띄우는 경우를 볼 수 있다. 이 문제와 관련해서 계속적으로 새로운 방법이 만들어지고 있으며 현재 피해를 본 사용자도 늘어나고 있는 실정이다.

2. 원인

위와 같은 방법은 얼마 전에 크게 문제가 되었던 Gohip, bestwebtv 사건과 같이 특정 사이트가 광고효과를 높이기 위해 해당 사이트 접속시 Java Script 나 ActiveX Component들이 자동으로 접속자의 시스템에서 실행되어 웹 브라우즈의 초기시작페이지나 즐겨찾기에 추가하거나 악성프로그램을 다운받게 하여 컴퓨터의 부팅시에 악성프로그램이 자동으로 시작되게 레지스트리 키 값을 추가 및 시작페이지 관련레지스트리를 변경한다. 이렇게 레지스트리 값이 추가되면 일반적인 웹 브라우저의 초기화 설정을 바꾸는 방법으로 복구하여도 다시 재부팅하면 레지스트리 값이 예전의 값을 가지고 있어 다시 특정사이트로 접속하게 되므로 레지스트리를 잘 알지 못하는 일반 사용자들은 당황하여 시스템을 다시 설치하는 경우도 있다. 또 최근에는 이런 악성스크립트를 스팸메일에 숨겨놓아 메일을 열어본 사용자들의 시스템에 설치되는 경우가 많이 발생하고 있다.

3. 증상 및 치료방법

1) 인터넷익스플로러 초기화면 레지스트리만 변경시킨 경우

( 그림1 △ ) 변경된 시작페이지

이와 같은 증상은 레지스트리 편집기 시작 페이지와 관련된 레지스트리 Key인
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]의 키중 하나인
"Start Page"를 변경한 경우로 변경된 웹페이지 주소를 제거하고, "원하는 사이트 주소"를 넣으면 된다.

* 레지스트리 편집 방법 및 복구순서

① 레지스트리 편집기 실행 : [실행] → [regedit입력]

(그림 2 △ ) 레지스트리 실행화면

② Start Page 레지스트리 키 찾기 : [편집] → [찾기]

( 그림 3 △ ) 레지스트리 킷값 찾기 실행

③ Start Page 값을 원하는 사이트로 변경하기

( 그림 4 △ ) 레지스트리 값 수정

이 레지스트리 이외에도 초기홈페이지와 관련된 레지스트리는 아래와 같다.

2) 악성프로그램이 설치된 경우

계속 특정 사이트로 연결하거나 성인광고 창을 띄우는 경우가 많다.

시작할 때 자동으로 시작하게 등록할 수 있는 레지스트리인

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion un

항목 중에 특정 파일이 심어져 있는 경우이다.

※ 설치된 악성프로그램에 따라 파일명이 다를 수 있다.

해당레지스트리 이름을 마우스로 클릭한 후 Del키를 눌러 삭제한다.

다음은 해당 레지스트리에 정의된 파일을 찾아 삭제한다.

삭제시 현재 실행되고 있으므로 그냥은 지울 수 없고 윈도우즈 98인 경우 Ctrl+Alt+Del키를 누른 후 현재 실행되고 있는 관련 프로세스를 먼저 죽인 후 제거하고 윈도우 2000/XP인 경우는 작업표시줄에서 마우스 오른쪽을 클릭 하여 작업관리자를 실행시킨 후 프로세스 탭에서 실행중인 프로세스를 먼저 끝낸 후 삭제한다.

이런 경우 대부분 ActiveX Component가 설치되어 있으므로 인터넷 익스플로러를 실행한 후에 상단의 메뉴중 [도구] [인터넷옵션] [일반] [설정] [개체보기] 버튼을 누릅니다. 여기는 일반적으로 인증관련 콘트롤러가 저장되는 것으로 주로 은행이나 신용기관 등 인증과정을 거쳐서 로그인이 되는 사이트의 ActiveX Component가 다운로드 되어 있다. 여기서 설치된 control을 더블클릭하면 상세정보를 얻을 수 있기 때문에 최근에 설치되고 알 수 없는 ActiveX Component를 찾아 제거한다.

3) 일정한 시간 간격으로 특정 페이지 팝업

위의 2)와 같이 시작할 때 자동으로 시작하게 등록할 수 있는 레지스트리인

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion un의 항목 중에 악성파일이 등록되어져 있다.

위의 예에서는 확장자가 "hta"인 생소한 파일을 발견할 수 있다.
이 레지스트리를 지우고 해당 파일을 지우면 된다.

※ 설치된 악성프로그램에 따라 파일명이 다를 수 있다.

Win32.hta 파일의 내용을 보면 1시간 간격(3600000초)으로 특정 사이트가 뜨게 프로그램 되어 있는 것을 알 수 있다..

4) 레지스트리를 수정하여도 재 부팅후 같은 증상이 나타나는 경우

이 같은 경우는 재 부팅 시에 초기 시작페이지와 관련된 레지스트리 값이 정의된 파일을 이용하여 다시 레지스트리를 변경시키는 방법을 사용한 경우이다. 이 경우에도 해당레지스트리 및 파일을 지우면 된다.

rad0A76E 파일의 내용을 확인해 보면 1)의 예에서 보였던 시작과 관련된 레지스트리가 정의되어 있다.

4. 대응방법

1) 이와 같은 정상이 일어나는 것은 마이크로소프트사의 Internet Explore의 취약점인 "Microsoft virtual machine vulnerability"를 이용하여 자동으로 악성스크립트가 실행된 것으로 패치를 하면 자동으로 실행되는 것을 막을 수 있다.

아래 사이트를 참조하여 항상 윈도우즈를 최신 버전으로 업데이트 하기 바란다.
http://www.certcc.or.kr/cyberterror/SE/sub3.html

2) 이런 악성스크립트가 설치된 웹사이트를 접속하면 이 웹사이트에 프로그램 되어져 있던 Java Script 나 ActiveX Component들이 접속자의 시스템이 보안 패치가 안되었을 경우나 보안등급이 낮게 설정되어 있을 때 자동으로 접속자의 시스템에서 실행되어 설치되거나, 사용자의 시스템이 패치가 되어 있고 보안등급이 보통이상으로 설정되어 있을 경우에는 프로그램에 대해 잘 모르는 사용자들은 프로그램을 설치하겠냐는 보안경고창을 무심코 "예(Y)"를 눌러 악성스크립트들이 설치되어 웹 브라우저의 초기시작페이지가 변조된다.

우선 보안 패치가 안된 시스템은 1)번 문서를 참조하여 최신버젼으로 인터넷 익스플로러를 패치한다.

패치가 된 경우에는 윈도즈의 기본 보안 설정에서 [인터넷 익스플로러 메뉴] → [도구] → [인터넷 옵션] → [보안]에서 기본수준으로 설정한다. 세부내용을 보면 "안전하지 않은 컨텐트를 다운로드하기 전에 알림" 및 "서명되지 않은 ActiveX 컨텐트 다운로드 금지"가 기본적으로 설정되어 있다.

만약 문제가 되는 악성 스크립트가 실행되는 사이트에 접속하면 우측과 같은 보안 경고 메시지가 뜬다.

여기에 자세히 보면 "서명된 날짜와 시간은 ... 설치하고 실행하겠습니까?" 라고 묻는다. 여기서 "예(Y)를 누르게 되면 악성스크립트가 설치되는 것이다.

사용자들은 어떤 특정사이트에 접속하였을 때 위와 관련된 보안 경고창이 팝업 될 때 신뢰할 수 있는 사이트가 아닌 경우에는 절대 실행시키지 말고 "아니오(N)"를 눌러야 한다.

5. 기타

※ 일반적으로 요즘 이와 같은 문제를 일으키는 일부 사이트에서는 전용 제거툴을 제공하고 있으니 해당 사이트에서 도움말을 확인해 보기 바란다.

http://www.gohip.com/remove.exe
http://bestweb.tv/help.htm
http://www.ieasysoft.com/cleaner/new2.htm

제공 : 한국정보보호진흥원(CERTCC-KR)