본문 바로가기

벌새::Analysis

국내 악성코드 : windows of start yahoo

사용자 동의 없이 설치되어 Internet Explorer 웹 브라우저의 시작 페이지를 특정 코드가 포함된 야후(Yahoo)로 변경하는 windows of start yahoo 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 국내에서 제작된 특정 광고 프로그램을 설치할 경우 사용자 동의 없이 몰래 설치가 이루어지고 있으며, 설치 파일(MD5 : cf3e5dea4c017692f32900a0010d47dc)에 대하여 Dr.Web 보안 제품에서는 Trojan.StartPage.41898 (VirusTotal : 5/43) 진단명으로 진단되고 있습니다.
GET /eview.php?kind=i&pid=116&mac=(사용자 Mac Address) HTTP/1.1
Content-Type: text/html
Host: qoolks.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

 

GET /qoolks.php?gname=qowl&pid=&m= HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
Host: q.dom.pe.kr
Connection: Keep-Alive

 

GET /qoolks_uninstall.exe HTTP/1.1
Content-Type: text/html
Host: q.dom.pe.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\qoolks_uninstall.exe :: windows of start yahoo 프로그램 삭제 파일

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 실행할 경우 사용자가 지정한 시작 페이지가 아닌 특정 코드가 포함된 야후(Yahoo) 포털 사이트로 변경이 이루어진 것을 확인할 수 있습니다.

프로그램 삭제는 제어판의 "windows of start yahoo" 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제가 완료되면 자동으로 프로그램 이전에 등록한 시작 페이지로 복구가 되는 것을 확인할 수 있습니다.

[생성 / 변경 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈페이지 주소) :: 변경 전
 - Start Page = http://kr.yahoo.com/?ilc=116 :: 변경 후
HKEY_CURRENT_USER\Software\qoolks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\qoolks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\qoolks

해당 프로그램은 설치 후에도 사용자에게 시작 페이지를 변경하면 쉽게 문제가 해결되지만, 사용자 동의 없이 프로그램 설치 및 시작 페이지 변경을 하여 금전적 수익을 유발하는 것으로 보이므로 주의하시기 바랍니다.

 
  • jackdaw 2012.03.03 13:50 댓글주소 수정/삭제 댓글쓰기

    이 프로그램이 삭제가 안되서 검색하다가 들어왔네요.삭제버튼을 누르면 HTTP/1.1 404not found라고만 뜨고 계속 삭제가 안되요ㅠㅠ도와주실수 있나요?

    • 프로그램이 제어판을 통한 삭제가 되지 않는 경우에는 게시글에 나온 생성 파일, 레지스트리 정보를 참고하여 수동으로 삭제하셔도 됩니다.

  • hj789 2012.03.11 15:44 댓글주소 수정/삭제 댓글쓰기

    제어판에서도 삭제가 안되고 생성폴더도 찾아보니 없어요 어떻게 해야되나요?ㅠㅠ 레지스트리는 어떻게 해야하는건지 알려주세요ㅠㅠ

    • 해당 파일은 숨김 속성 폴더에 위치하고 있습니다. 폴더 옵션에서 숨김 폴더, 파일을 보이게 변경을 하시고 찾아보시기 바랍니다.

      레지스트리는 시작 - 실행 - regedit 명령어를 입력하시면 레지스트리 편집기가 실행되며 게시글에 표시된 레지스트리 값을 찾아 하나씩 삭제하시면 됩니다.

  • hj789 2012.03.11 16:04 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 근데 레지스트리로 삭제했는데 제어판에 아직도 남아있네요 삭제가 안된건가요?

  • jhg 2012.03.25 12:50 댓글주소 수정/삭제 댓글쓰기

    저는 제어판에 이게 뜨긴뜨는데 socket error # 11002 라고 뜨면서 지워지지 않아요
    어떻해야 되요??

    • 아마 이유는 해당 프로그램을 삭제할 때 광고 서버에서 삭제 카운터 체크를 하는 부분이 있습니다.

      그 부분이 연결이 되지 않아서 삭제가 되지 않는게 아닐까 의심됩니다.

      이런 경우에는 제어판 삭제를 하지 마시고 수동으로 생성 폴더(파일), 레지스트리 정보를 참고하여 삭제하시기 바랍니다.

  • going 2012.04.12 22:33 댓글주소 수정/삭제 댓글쓰기

    삭제가 안되서 검색하다가 들어왔는데 덕분에 깨끗하게 제거했습니다. 감사합니다~

  • 안녕하세요 2012.04.15 16:11 댓글주소 수정/삭제 댓글쓰기

    삭제가 안되서 물어봅니다.
    자꾸 Socket Error # 11001 Host not found. 라고 뜨는데
    레지스트리? 그건 어떻게 하는건가요?

    • 제어판을 통한 삭제가 되지 않을 경우 생성 파일 정보를 참고하여 파일을 직접 찾아 삭제하시기 바랍니다.

      레지스트리 삭제는 시작 - 실행 - regedit 입력을 통해 레지스트리 편집기를 실행한 후, 생성 레지스트리 값을 참고하여 삭제하시기 바랍니다.

      레지스트리 삭제는 복원이 안되므로 잘 확인해서 삭제하시기 바랍니다.

  • 새새 2012.04.15 18:55 댓글주소 수정/삭제 댓글쓰기

    시작페이지가 야후는 아닌데 있어요
    제어판에 삭제눌러도 삭제가 안되고요 위에서 답변하신것 처럼 레지스트리편집기 실행했는데 windows of start yahoo 라는건 없어요.. 어떻게해야하죠? 생성레지스트리값은 뭔가요?

  • zlfjtkfkd 2012.04.21 01:11 댓글주소 수정/삭제 댓글쓰기

    진짜 감사합니다 덕분에 살았어요 ㅠ0ㅠ

  • Symantec User 2012.06.23 12:09 댓글주소 수정/삭제 댓글쓰기

    저도 오늘 갑자기 홈 페이지가 야후로 바뀐 거에요!!
    그래서 왜 그러지?? 하면서 홈 페이지를 원래대로 해 놨어요.
    근데 잠시 후!!노턴 인터넷 시큐리티가 악성코드를 잡아냈대요!!
    그래서 재빨리 치료 완료.
    보니까 트로젠이더군요...
    노턴 아니었으면 꼼짝 없이 당할 뻔했네요

  • L Dark 2012.11.17 23:36 댓글주소 수정/삭제 댓글쓰기

    http://kr.yahoo.com/?ilc=194

    이것에 관해서도 아시나요?

    2일 전부터 그러는데 제 능력으로는 안되네요.