최근 메일을 통해 웹 브라우저를 실행할 경우 30tab.com 웹 사이트로 자동 연결되는 문제를 해결할 수 있는 방법을 문의해 온 것이 있어서 보내준 로그(Log) 파일을 확인해 보았습니다.

 

문의하신 사용자의 경우에는 설치된 프로그램이나 실행된 파일에서는 의심스러운 부분이 발견되지 않았는데, 다음과 같은 의심스러운 레지스트리 등록 정보가 추가되어 있는 것을 확인할 수 있습니다.

 

 

HKEY_USERS\S-1-5-21-<숫자>-<숫자>-<숫자>-1000\Software\Microsoft\Internet Explorer\Main
 - Start Page = file:///C:/Users/%UserName%/Desktop/bookmark.html

 

원래 "HKEY_USERS\S-1-5-21-<숫자>-<숫자>-<숫자>-1000\Software\Microsoft\Internet Explorer\Main" 또는 "HKEY_USERS\S-1-5-21-<숫자>-<숫자>-<숫자>-1001\Software\Microsoft\Internet Explorer\Main" 키에 포함된 "Start Page" 문자열에는 기본 웹 브라우저가 설정한 홈 페이지 주소가 등록되어 있습니다.

 

그런데 추정컨데 광고성 악성 프로그램이 설치되는 과정에서 해당 등록값을 바탕 화면에 생성한 bookmark.html 파일로 변경을 한 것으로 보입니다.

 

 

아마도 최초 "Start Page" 문자열 수정이 이루어진 후 Internet Explorer 웹 브라우저를 실행할 경우 위와 같이 bookmark.html 파일을 홈 페이지로 지정하는 행위를 확인할 수 있습니다.

 

 

반대로 Internet Explorer 웹 브라우저의 홈 페이지 주소는 여전히 사용자가 지정한 특정 주소로 연결되어 있으므로 bookmark.html의 존재에 대해 제대로 인지하지 못할 수 있습니다.

 

 

테스트를 위해 바탕 화면에 생성된 bookmark.html 파일 소스에 30tab.com으로 연결하도록 코드를 추가한 후 Internet Explorer 웹 브라우저를 실행해 보도록 하겠으며, 특히 bookmark.html 파일이 숨김(H) 속성인 경우 바탕 화면에서 표시되지 않기 때문에 더욱 원인 파악을 하기 어려울 수 있을꺼라 추정됩니다.

 

 

실행된 Internet Explorer 웹 브라우저는 사용자가 지정한 홈 페이지가 아닌 30tab.com으로 연결되는 것을 확인할 수 있습니다.

 

그러므로 악성 프로그램이 최초 추가한 홈 페이지 변경 방식은 악성 프로그램이 제거된 후에도 유효하게 동작하며, 이런 경우에는 bookmark.html 파일과 "Start Page" 문자열에 등록된 파일 경로를 사용자가 지정한 홈 페이지 주소로 변경해야합니다.

 

 

추가적으로 Internet Explorer 웹 브라우저가 아닌 Chrome, Firefox 웹 브라우저에서도 동일한 증상이 발생한다고 언급한 것으로 봐서는 설정(chrome://settings) 페이지의 "시작 그룹" 항목에서 "특정 페이지 또는 페이지 모음 열기" 옵션에 bookmark.html 파일을 등록하였을 가능성이 높으므로 설정 페이지 항목을 꼼꼼하게 체크하는 것도 중요합니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..