본문 바로가기

벌새::Analysis

일베(ilbe.com)를 표적으로 한 호스트 파일 변조 운영 체제 유포 주의 (2012.12.31)

반응형

2012년 12월 22일경에 제작된 것으로 추정되는 Windows 7 불법 윈도우 이미지 파일을 이용하여 운영 체제를 설치한 경우 일간베스트, 조선일보, 중앙일보, 동아일보 등 특정 성향의 커뮤니티와 언론사 접속시 "불법 · 유해 정보(사이트)에 대한 차단 안내" 웹 사이트(warning.or.kr)로 연결되는 문제가 발생한다는 소식이 있습니다.

 

최초 소식이 일간베스트 기술지원 게시물을 통해 나온 것으로 보이며, 실제 해당 이미지 파일의 존재 여부와 추가적인 정보를 확인해 보았습니다.

확인된 파일은 2012년 12월 15일까지 공개된 윈도우 패치와 Internet Explorer 9 웹 브라우저가 통합된 것으로 보이며, 32비트와 64비트 운영 체제가 통합된 Windows 7 운영 체제 이미지 파일입니다.

이미지 파일 내부를 살펴보면 "sources" 폴더가 2012년 12월 22일 새벽경에 수정된 것을 확인할 수 있습니다.

"sources" 폴더 내부를 확인해보면 "install.wim" 압축 파일이 2012년 12월 22일에 수정되어 추가된 것을 확인할 수 있습니다.

install.wim 압축 파일을 추출하여 내부를 확인해보면 1(32비트), 2(64비트)번 폴더로 구분되어 있습니다.

테스트는 32비트 운영 체제로 설치하였을 경우를 가정하였으며, 문제가 된다는 호스트 파일(C:\Windows\system32\drivers\etc\hosts)을 확인해보면 2012년 12월 22일 수정되어 있는 것을 확인할 수 있습니다.

  • 121.189.57.82 www.ilbe.com
  • 121.189.57.82 www.chosun.com
  • 121.189.57.82 media.joinsmsn.com
  • 121.189.57.82 news.donga.com
  • 121.189.57.82 www.mk.co.kr
  • 121.189.57.82 www.newdaily.co.kr
  • 121.189.57.82 www.dailian.co.kr

호스트 파일의 내부를 확인해보면 정상적인 호스트 파일과는 다르게 일간베스트, 조선일보, 중앙일보, 동아일보 등 특정 성향을 지지하는 웹 사이트 접속을 방해하는 것을 확인할 수 있습니다.

 

참고로 등록된 웹 사이트 목록을 살펴보면 일부 웹 사이트가 정상적으로 연결되지 않는 것으로 보아, 이번 제작을 위해 수집된 것이 아니라 기존에 수집된 주소를 이용한 것이 아닌가 추정됩니다.

실제 호스트 파일 변조를 유발하는 윈도우가 설치된 경우 등록된 웹 사이트에 접속을 하면 "불법 · 유해 정보(사이트)에 대한 차단 안내" 웹 사이트로 연결되어 정상적인 접속이 이루어지지 않는 것을 확인할 수 있습니다.

추가적으로 해당 이미지 파일에 포함된 파일들 중 악성 파일이 존재한지 여부를 확인해보면 기존에 알려진 악성 파일은 없는 것으로 보입니다.

 

원칙적으로 불법 윈도우를 인터넷 상에서 다운로드하여 이용하는 사용자는 그에 대한 책임을 져야 하므로 되도록 정품 운영 체제를 사용하시는 것이 가장 안전하며, 해당 문제를 해결하기 위해서는 다음과 같은 절차에 따라 호스트 파일을 수정하시기 바랍니다.

 

(1) 시작 버튼을 클릭하여 "모든 프로그램 → 보조 프로그램→ 메모장" 메뉴를 선택하여 마우스 우클릭을 통해 "관리자 권한으로 실행"을 선택하시기 바랍니다.

(2) 생성된 메모장 프로그램의 "사용자 계정 컨트롤" 창에서 "예(Y)" 버튼을 클릭하시기 바랍니다.

(3) 메모장 프로그램의 "파일 → 열기" 메뉴를 실행하여 호스트 파일(C:\Windows\system32\drivers\etc\hosts)을 찾아 열기를 하시기 바랍니다.(※ 파일 형식은 "모든 파일"로 변경하시고 호스트 파일을 찾으시기 바랍니다.)

(4) 변조된 호스트 파일 내용을 수정하여 기존의 정상적인 호스트 파일로 수정 후 저장을 하시기 바랍니다.

수정시에는 "121.189.57.82 www.ilbe.com" 문구부터 아래의 모든 등록값을 삭제하시면 됩니다.

 

다시 한 번 강조하지만 불법적인 소프트웨어를 인터넷 상에서 다운로드하는 행위는 위와 같은 간단한 문제부터 심각한 시스템 감염을 통한 정보 유출 등을 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형
  • 와.. 이런 경우도 있군요;;

  • 역시 정품을사요해야된다는...보안에 관심있으후로는 md5까지 확인하는버릇도 생겼습니다ㅠㅠ

  • an7 2013.01.04 18:09 댓글주소 수정/삭제 댓글쓰기

    일베를 못들어가게 막는건 좋은거아닌가요??

  • 장난이라고 하기엔 도가 너무 심한 장난이군요..

    윈도우 설치파일에 이런걸 넣는다니 미처 몰랐습니다.

  • 도와주세요 2013.03.28 18:22 댓글주소 수정/삭제 댓글쓰기

    확인해보니 저희 집 프로그램이 이거네요 ;;;ㅠㅠㅠ
    근데 ,usb연결할때에도 pmp파일전송중에 i/o 장치오류 가뜨면서 전송불가뜨거나 usb 연결해노코 몇분있다보면 렉먹네요.;; 단자교체까지 다했으나 또그러네요 혹시이것도 이런문제와관련있나요

    • 내용을 봐서는 하드웨어 문제인지 소프트웨어 문제인지는 알 수 없습니다.

      하지만 불법 소프트웨어 설치로 인한 다양한 문제가 발생할 수 있으므로 되도록 정품을 이용하시기 바랍니다.

  • 에휴 2013.06.08 18:28 댓글주소 수정/삭제 댓글쓰기

    정품을 쓰면 되지;;

    하여간 크랙쟁이들

  • 무궁화 2018.03.15 10:37 댓글주소 수정/삭제 댓글쓰기

    왜? 특정사이트를 음해하고, 저러한것을 유포하는지 생각들은 해보셨는지? 그것도 일부러 프로그램을 제작해서.시간과돈이 남아돌아서? 아닙니다..무언가 숨기고 싶은게 있든지 그 사이트의 존재가 저들에게 가시처럼 느껴서 그렇습니다.
    일개 사이트를...

    • ㅋㅋㅋ 2018.05.25 19:51 댓글주소 수정/삭제

      일베 조선은 유해사이트 인정 해야지~

      아 물론 김정은 이승만 박정희 전두환 개객기^^