광고 프로그램 또는 악성코드에 감염된 경우 블로그를 통해 1차적으로 이메일 문의를 받아 해결 방법을 전달한 후에도 해결되지 않을 경우에는 2014년 12월경부터 공식적으로 원격 지원을 통해 추가적으로 도움을 드리고 있었습니다.

 

원격 지원을 받은 분들 중 약 90~95% 수준으로 문제를 해결해주고 있는 편인데 오늘 매우 독특한 사례가 있어서 짧게 살펴보도록 하겠습니다.

 

문의하신 분은 네이버(Naver) 백신을 사용하던 중 해외 광고 프로그램이 설치되었던 것으로 추정되며, 문제 해결을 위해 avast!, Malwarebytes 백신 프로그램을 추가로 설치하여 확인되지 않는 광고 프로그램(PUP)을 진단하여 제거하였다고 합니다.

 

하지만 여전히 특정 웹 사이트를 방문할 경우 자동으로 해외 웹 사이트로 연결되는 문제가 발생하는 증상이 있다는 것이 핵심입니다.

 

보내주신 Runscanner 로그 파일에서는 문제되는 프로그램이 전혀 발견되지 않기에 원격을 통해 추가적으로 확인해 보았습니다.

우선 광고 행위를 살펴보면 포털 사이트는 아니지만 특정 웹 사이트 접속시 자동으로 Adobe Flash Player, Oralce Java 설치를 미끼로 다양한 광고 프로그램 설치를 유도하는 웹 사이트로 연결되는 문제를 확인할 수 있었습니다.

  • <디지털 서명 : Upright Media> flashplayerupdate-setup.exe (SHA-1 : 6c0ff2ee8e3a884baaae04bf0f728add73786caa) - AhnLab V3 365 Clinic : PUP/Win32.DownloadAdmin.R163407 (VT : 14/56)
  • <디지털 서명 : Downloadious> setup.exe (SHA-1 : 04b3ff0a971d3d2292b0d67b1cef287b47d056ac) - Avira : PUA/InstallCore.lsd (VT : 13/56)
  • <디지털 서명 : SAFe sofTwaRe SlL> setup.exe (SHA-1 : 346721f0cc87934aa0f6ce8f13011402997756c4) - AhnLab V3 365 Clinic : PUP/Win32.OutBrowse.R159868 (VT : 12/56)

참고로 관련 웹 사이트에서 다운로드되는 배포 파일을 실행할 경우에는 정상적인 소프트웨어 설치 과정에서 다수의 제휴 프로그램을 포함하여 정상적인 인터넷 사용을 방해하는 수줍으로 광고 배너를 생성할 수 있습니다.

광고 행위의 원인을 찾기 위해 Internet Explorer 웹 브라우저의 인터넷 옵션을 살펴보는 과정에서 사용의 편의를 위해 시작 옵션을 "마지막 세션의 탭으로 시작"하도록 설정되어 있는 부분을 발견할 수 있었습니다.

 

이로 인하여 해당 PC의 경우 Internet Explorer 웹 브라우저를 실행할 경우 5개 이상의 웹 사이트가 자동으로 함께 열리는 모습을 확인할 수 있었습니다.(※ 홈 페이지 설정값은 "about:Tabs"로 설정된 상태였습니다.)

그래서 1차적으로 시작 옵션을 "홈 페이지로 시작"으로 변경한 후 "검색 기록 삭제" 메뉴를 실행하여 "임시 인터넷 파일 및 웹 사이트 파일", "쿠키 및 웹 사이트 데이터" 항목을 체크한 후 삭제를 진행하였습니다.

 

단, 중요한 점은 기본값에서 체크된 "즐겨찾기 웹 사이트 데이터 보존" 항목은 반드시 체크 해제 후 삭제를 진행해야한다는 점입니다.

 

위와 같은 조치 후 Internet Explorer 웹 브라우저를 완전히 종료한 후 문제가 되는 웹 사이트를 방문할 경우 자동으로 광고 사이트로 연결되는 행위가 사라졌다는 점입니다.

 

이를 기반으로 유추해보면 지속적으로 광고 행위가 발생하던 중 백신 프로그램 또는 수동으로 광고 프로그램을 삭제한 이후에는 추가적으로 임시 파일 및 쿠키를 깨끗하게 삭제해줌으로써 기존 광고 행위에서 저장된 데이터 및 세션이 완전히 제거된다는 것입니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..