본문 바로가기

벌새::Analysis

일베(ilbe.com)를 표적으로 한 호스트 파일 변조 운영 체제 유포 주의 (2012.12.31)

반응형

2012년 12월 22일경에 제작된 것으로 추정되는 Windows 7 불법 윈도우 이미지 파일을 이용하여 운영 체제를 설치한 경우 일간베스트, 조선일보, 중앙일보, 동아일보 등 특정 성향의 커뮤니티와 언론사 접속시 "불법 · 유해 정보(사이트)에 대한 차단 안내" 웹 사이트(warning.or.kr)로 연결되는 문제가 발생한다는 소식이 있습니다.

 

최초 소식이 일간베스트 기술지원 게시물을 통해 나온 것으로 보이며, 실제 해당 이미지 파일의 존재 여부와 추가적인 정보를 확인해 보았습니다.

확인된 파일은 2012년 12월 15일까지 공개된 윈도우 패치와 Internet Explorer 9 웹 브라우저가 통합된 것으로 보이며, 32비트와 64비트 운영 체제가 통합된 Windows 7 운영 체제 이미지 파일입니다.

이미지 파일 내부를 살펴보면 "sources" 폴더가 2012년 12월 22일 새벽경에 수정된 것을 확인할 수 있습니다.

"sources" 폴더 내부를 확인해보면 "install.wim" 압축 파일이 2012년 12월 22일에 수정되어 추가된 것을 확인할 수 있습니다.

install.wim 압축 파일을 추출하여 내부를 확인해보면 1(32비트), 2(64비트)번 폴더로 구분되어 있습니다.

테스트는 32비트 운영 체제로 설치하였을 경우를 가정하였으며, 문제가 된다는 호스트 파일(C:\Windows\system32\drivers\etc\hosts)을 확인해보면 2012년 12월 22일 수정되어 있는 것을 확인할 수 있습니다.

  • 121.189.57.82 www.ilbe.com
  • 121.189.57.82 www.chosun.com
  • 121.189.57.82 media.joinsmsn.com
  • 121.189.57.82 news.donga.com
  • 121.189.57.82 www.mk.co.kr
  • 121.189.57.82 www.newdaily.co.kr
  • 121.189.57.82 www.dailian.co.kr

호스트 파일의 내부를 확인해보면 정상적인 호스트 파일과는 다르게 일간베스트, 조선일보, 중앙일보, 동아일보 등 특정 성향을 지지하는 웹 사이트 접속을 방해하는 것을 확인할 수 있습니다.

 

참고로 등록된 웹 사이트 목록을 살펴보면 일부 웹 사이트가 정상적으로 연결되지 않는 것으로 보아, 이번 제작을 위해 수집된 것이 아니라 기존에 수집된 주소를 이용한 것이 아닌가 추정됩니다.

실제 호스트 파일 변조를 유발하는 윈도우가 설치된 경우 등록된 웹 사이트에 접속을 하면 "불법 · 유해 정보(사이트)에 대한 차단 안내" 웹 사이트로 연결되어 정상적인 접속이 이루어지지 않는 것을 확인할 수 있습니다.

추가적으로 해당 이미지 파일에 포함된 파일들 중 악성 파일이 존재한지 여부를 확인해보면 기존에 알려진 악성 파일은 없는 것으로 보입니다.

 

원칙적으로 불법 윈도우를 인터넷 상에서 다운로드하여 이용하는 사용자는 그에 대한 책임을 져야 하므로 되도록 정품 운영 체제를 사용하시는 것이 가장 안전하며, 해당 문제를 해결하기 위해서는 다음과 같은 절차에 따라 호스트 파일을 수정하시기 바랍니다.

 

(1) 시작 버튼을 클릭하여 "모든 프로그램 → 보조 프로그램→ 메모장" 메뉴를 선택하여 마우스 우클릭을 통해 "관리자 권한으로 실행"을 선택하시기 바랍니다.

(2) 생성된 메모장 프로그램의 "사용자 계정 컨트롤" 창에서 "예(Y)" 버튼을 클릭하시기 바랍니다.

(3) 메모장 프로그램의 "파일 → 열기" 메뉴를 실행하여 호스트 파일(C:\Windows\system32\drivers\etc\hosts)을 찾아 열기를 하시기 바랍니다.(※ 파일 형식은 "모든 파일"로 변경하시고 호스트 파일을 찾으시기 바랍니다.)

(4) 변조된 호스트 파일 내용을 수정하여 기존의 정상적인 호스트 파일로 수정 후 저장을 하시기 바랍니다.

수정시에는 "121.189.57.82 www.ilbe.com" 문구부터 아래의 모든 등록값을 삭제하시면 됩니다.

 

다시 한 번 강조하지만 불법적인 소프트웨어를 인터넷 상에서 다운로드하는 행위는 위와 같은 간단한 문제부터 심각한 시스템 감염을 통한 정보 유출 등을 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형