국내 악성코드 : windows of start yahoo

사용자 동의 없이 설치되어 Internet Explorer 웹 브라우저의 시작 페이지를 특정 코드가 포함된 야후(Yahoo)로 변경하는 windows of start yahoo 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 국내에서 제작된 특정 광고 프로그램을 설치할 경우 사용자 동의 없이 몰래 설치가 이루어지고 있으며, 설치 파일(MD5 : cf3e5dea4c017692f32900a0010d47dc)에 대하여 Dr.Web 보안 제품에서는 Trojan.StartPage.41898 (VirusTotal : 5/43) 진단명으로 진단되고 있습니다.

GET /eview.php?kind=i&pid=116&mac=(사용자 Mac Address) HTTP/1.1
Content-Type: text/html
Host: qoolks.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

 

GET /qoolks.php?gname=qowl&pid=&m= HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
Host: q.dom.pe.kr
Connection: Keep-Alive

 

GET /qoolks_uninstall.exe HTTP/1.1
Content-Type: text/html
Host: q.dom.pe.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\qoolks_uninstall.exe :: windows of start yahoo 프로그램 삭제 파일

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 실행할 경우 사용자가 지정한 시작 페이지가 아닌 특정 코드가 포함된 야후(Yahoo) 포털 사이트로 변경이 이루어진 것을 확인할 수 있습니다.

프로그램 삭제는 제어판의 "windows of start yahoo" 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제가 완료되면 자동으로 프로그램 이전에 등록한 시작 페이지로 복구가 되는 것을 확인할 수 있습니다.

[생성 / 변경 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈페이지 주소) :: 변경 전
 - Start Page = http://kr.yahoo.com/?ilc=116 :: 변경 후
HKEY_CURRENT_USER\Software\qoolks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\qoolks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\qoolks

해당 프로그램은 설치 후에도 사용자에게 시작 페이지를 변경하면 쉽게 문제가 해결되지만, 사용자 동의 없이 프로그램 설치 및 시작 페이지 변경을 하여 금전적 수익을 유발하는 것으로 보이므로 주의하시기 바랍니다.