● 최초 작성 : 2016년 1월 23일

● 1차 수정 : 2016년 1월 28일 - 추가적인 정보 수집을 통한 내용 수정

 

최근 블로그에서 안내하는 Runscanner 프로그램을 통한 악성 프로그램 문의를 받던 중 DNS 네임서버 주소를 변경하여 웹 브라우저 사용시 "Ads by DNSUnlocker" 광고창을 생성하는 행위가 발생하는 부분을 확인하였습니다.

 

Trojan.DNSChanger 악성코드를 통한 DNS 네임서버 주소 변경을 시도하는 감염 방식에 대한 정보는 이미 공개된 상태이므로 참고하시기 바라며, 이 글에서는 국내 인터넷 사용자 중에서 DNSChanger 악성코드 감염으로 변경된 대표적인 사례를 살펴보도록 하겠습니다.

 

 

  • 82.163.142.3 / 95.211.158.130
  • 82.163.142.4 / 95.211.158.131
  • 82.163.142.6 / 95.211.158.133
  • 82.163.142.7 / 95.211.158.134
  • 82.163.143.176 / 82.163.142.178
  • 199.203.131.145 / 82.163.143.167

메일을 통해 수집된 로그(Log)를 확인해보면 DNS 네임서버가 다양한 악성 IP 서버로 변경되어 있는 부분을 확인할 수 있습니다.

 

 

변경된 DNS 네임서버 주소의 영향으로 인터넷 접속시 이스라엘(Israel)에 위치한 "199.203.131.145 (mallgw.polyram-group.com)" 서버로 통신이 이루어지는 것을 알 수 있습니다.

 

 

이후 웹 브라우저를 실행하여 인터넷 접속 과정에서 "m51.dnsqa.me/QualityCheck/gg.js" 스크립트 파일을 체크하여 광고 동작 여부를 결정할 수 있습니다.

 

 

만약 유효한 인터넷 검색 및 웹 사이트 접속이 이루어질 경우에는 "m51.dnsqa.me/QualityCheck/ga.js" 스크립트을 체크하는 부분을 확인할 수 있습니다.

 

 

이를 통해 스크립트에 등록된 다양한 광고 구성값 정보를 기반으로 "Ads by DNSUnlocker" 광고를 비롯한 다양한 형태의 광고가 노출되는 것을 다음과 같이 확인할 수 있습니다.

 

 

특히 변경된 네트워크 환경에서는 악성 광고 프로그램 자체는 삭제하여도 DNS 네임서버에 등록된 IP 주소를 이용하여 특정 웹 사이트 접속시 "Ads by DNSUnlocker" 광고창이 생성되는 문제를 경험할 수 있습니다.

 

[변경된 DNS 네임서버 레지스트리 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
 - NameServer = (IP 주소)

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}
 - NameServer = (IP 주소)

 

"Ads by DNSUnlocker" 광고가 생성되는 환경에서는 DNS 네임서버에 추가된 2종의 IP 주소가 포함되어 있는 경우 모두 삭제하시기 바라며, 추가적으로 사용하시는 각 웹 브라우저의 캐시, 쿠키 파일을 모두 삭제하시기 바랍니다.

 

특히 변경된 DNS 서버로 인한 초기화가 필요한 경우에는 명령 프롬프트를 관리자 권한으로 실행하여 ipconfig /flushdns 명령어를 통해 초기화 후 Windows 재부팅을 하시기 바랍니다.

 

[공통적으로 발견되는 악성 파일]

 

C:\ProgramData\{76167abe-0c75-da80-7616-67abe0c7eaf8}\hqghumeaylnlf.dat
C:\ProgramData\{76167abe-0c75-da80-7616-67abe0c7eaf8}\hqghumeaylnlf.exe

 - SHA-1 : aeb933bb82699430a354412d73d4397fe7b9a6f4
 - Hauri ViRobot : Adware.Agent.4878960[h]

 

참고로 해당 증상이 발생하는 PC에서 공통적으로 발견되는 "Super PC Tools Limited" 디지털 서명이 포함된 "C:\ProgramData\{GUID}\hqghumeaylnlf.exe" 악성 파일(※ 제품 이름 : Super Optimizer v3.2, 파일 설명 : Fix PC problems and optimize performance)은 예약 작업 영역에 Superclean 작업 스케줄러(C:\Windows\Tasks\Superclean.job) 값을 추가하여 Windows 로그온시 자신을 자동으로 실행되도록 구성되어 있으므로 관련값을 찾아 함께 삭제하시기 바랍니다.(※ 해당 악성 파일은 광고 프로그램 자동 설치 기능이 포함된 것이 아닌가 의심됩니다.)

 

만약 "Ads by DNSUnlocker" 광고로 인하여 문제가 해결되지 않는 경우에는 Malware Zero Kit (MZK) 도구를 이용한 검사 또는 Runscanner 프로그램을 이용하여 메일 문의를 주시면 도움을 드릴 수 있도록 하겠습니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..

티스토리 툴바