본문 바로가기

벌새::Security

F-Secure 제품의 Adware.BHO(generic) 진단과 즐겨찾기 문제점

세계에서 단일 제품으로는 가장 많은 엔진을 보유한 F-Secure 제품을 이용하여 시스템 전체 검사를 하면 특히 국내 인터넷 사용자들에게 공통적으로 진단되는 2가지 진단명이 있습니다.

● Adware.BHO(generic) (Spyware)

REGKEY:HKLM\software\microsoft\internet explorer\activex compatibility\{557b9038-fc87-453c-8b08-32d85f46eac4}
REGDATA:HKU\S-1-5-21-1659004503-1767777339-682003330-1004\software\microsoft\internet explorer\main\Start Page
REGDATA:HKU\S-1-5-19\control panel\desktop\Wallpaper
REGDATA:HKU\S-1-5-20\control panel\desktop\Wallpaper
REGDATA:HKU\S-1-5-21-1659004503-1767777339-682003330-1004\control panel\desktop\Wallpaper


● Possible Browser Hijack attempt (misc)

진단명을 보시면 아시겠지만 generic 또는 Possible로 나오는 것으로 소위 의심스러운 부분에 대한 진단으로 봐야할 것 같습니다.

먼저 Possible Browser Hijack attempt 진단에 대해 살펴보겠습니다.

한글로 변역을 한다면 웹브라우저를 하이젝(특정 사이트 유도 또는 고정)을 시도할 가능성이 있으므로 진단한다고 나옵니다.

실제 진단하는 부분은 사용자 컴퓨터에 저장되어 있는 [즐겨찾기] 항목으로 국내 웹사이트 Daum, Dreamwiz 등 포털 사이트의 즐겨찾기 모두를 진단하고 있습니다.

여기에서 주목할 점은 F-Secure 제품의 진단 엔진 중 하나인 Lavasoft사의 Ad-Aware 엔진의 사용입니다. 해당 엔진은 제 기억으로는 2003년 경부터 국내 포털 사이트의 즐겨찾기 부분을 진단하고 있었습니다.

그 이유는 모르겠지만 아마 과거 일정 기간 동안 국내 포털 사이트에서 시작 페이지 고정 등을 강제적으로 변경하지 못하게 하는 등의 행위를 파악하고 진단을 시작한 것이 지금까지 이어져 오는 것으로 보입니다.

이유야 어찌되었건 현재의 해당 웹사이트는 시작 페이지 고정이나 하이젝 관련 기능은 없다고 봐야하므로 해당 진단을 악성코드로 판단하고 실제 치료를 시도하면 자신의 즐겨찾기 항목 일부가 삭제된다는 것을 아시기 바랍니다.

물론 해당 진단 항목을 보시면 일부 해외 악성코드 유포 사이트의 즐겨찾기도 포함되어 있으므로 해당 진단이 오진이라고 볼 수는 없을 것 같습니다. 이 문제는 국내 포털 사이트의 과거 잘못된 행위의 댓가가 아닐까 생각됩니다.

이제 Adware.BHO(generic) 관련 진단에 대해 알아보겠습니다.

BHO(Browser Helper Object) 또는 브라우저 도우미 개체는 윈도우 탐색기와 IE기능을 확장하는데 사용하는 기능이다. BHO에 등록된 Spyware 또는 Adware는 DLL형태로 윈도우탐색기나 IE에 의하여 실행되기 때문에 윈도우 작업관리자에서 확인이 불가능하고, 윈도우 시작 시 윈도우 탐색기에 의하여 자동실행된다.

Spyware나 Adware 는 BHO를 이용하여 IE시작페이지 변경이 가능하고 팝업광고를 출력하거나, 주소표시줄을 감시하고 원하지 않는 주소로 변경 하는 등의 여러가지 악의적인 목적으로 사용할 수 있다.

[출처 : 안철수연구소]

BHO에 대한 용어 설명에서와 같이 실제 진단 내용을 세부적으로 살펴보겠습니다.

HKLM\software\microsoft\internet explorer\activex compatibility\{557b9038-fc87-453c-8b08-32d85f46eac4}

해당 ActiveX 관련 항목과 관련된 파일 정보를 찾아보면 C:\WINDOWS\search.dll 관련 파일과 연관이 된다는 것을 확인하였습니다.

하지만 실제 해당 파일은 정해진 위치에 없으며 단지 레지스트리 정보만으로 의심을 하는 것으로 보입니다.

또한 해당 파일이나 레지스트리가 실제 악성코드 동작과 관련된 파일인지 확인이 불가능한 상태입니다.

HKU\S-1-5-21-1659004503-1767777339-682003330-1004\software\microsoft\internet explorer\main\Start Page

해당 레지스트리 정보는 사용자의 웹브라우저 시작 페이지 설정과 관련된 정보입니다.

실제 본인이 신뢰할 수 있는 웹사이트를 시작 페이지로 설정을 하였는데도 위와 같이 진단을 하는 것은 문제가 있어 보입니다.

HKU\S-1-5-19\control panel\desktop\Wallpaper
HKU\S-1-5-20\control panel\desktop\Wallpaper

해당 레지스트리 정보 역시 데스크탑의 배경화면 설정 관련 정보로 보입니다.

특별히 악의적인 배경이 따로 지정되어 있지 않은 상태에서 진단하는 문제점을 가지고 있습니다.

HKU\S-1-5-21-1659004503-1767777339-682003330-1004\control panel\desktop\Wallpaper

해당 레지스트리 정보도 윈도우에서 제공하는 정상적인 방식으로 배경화면을 설정하였는데 진단하는 문제점을 가지고 있습니다.

위와 같이 Ad-Aware 엔진에서의 감염 의심 진단(휴리스틱)은 예방 차원에서는 좋은 기술 중의 하나이겠지만 자세히 살펴보지 않는 일반인의 경우에는 실제 해당 진단을 믿고 치료를 할 경우 문제가 생깁니다.

문제점의 경우 현재 사용자가 지정한 배경 화면이 사라지고 검은색 배경으로 변경되며(재부팅 시), 자신이 지정한 국내 웹사이트 즐겨찾기 일부가 사라지는 현상이 있습니다.

F-Secure 사용자 또는 Ad-Aware 사용자분들은 해당 진단명이 나올 경우 주의하시기 바랍니다.


  • 망상인 2009.01.14 04:53 댓글주소 수정/삭제 댓글쓰기

    adware generic3.bho가 검출 되었고 그걸 검색하다 여기로 오게 되었는데요.

    위 글과 같은 것이라면 단지 악의적인 애드웨어로서 광고성 글만 게재하여 괴롭히는 건가요? 아님 컴퓨터 자체를 공격하여 망가뜨리는 건가요?

    트로이목마형이라고 아무래도 체감적으로 뭐가 어떤지는 몰랐습니다만 요 근래 컴터가 좀 느려지고 인터넷 영상을 보다가 갑자기 끊기고 멈추길래 순간하고 작업관리자로 켜보았더니 Dfshim.dll 이라는게 메모리를 순간적으로 잡아먹고 없어지더라고요.

    그럼 이건 해킹당했다는 건가요?

    그리고 마지막으로요. 그 Dfshim.dll의 메모리 사용량을 보고 아차 싶어 빨리 AVG라는 백신으로 없앴습니다. 그 adware generic3.bho를요. 계속 걱정되서 레지스트리에서 Dfshim.dll 제거하고 그 Dll 파일 또한 찾아내어 없앴습니다만.

    이걸로 충분할까요? 아님..뭔가 대처할만한게 또 있어야하나요?
    왠지 기분이 찝찝하고 영 그런게(기본적으로 자세한 사항이라던가 이에 대한 설명이 없기에)

    그냥 포맷을 하는게 좋을까요?

    • 안녕하세요.

      기본적으로 Dfshim.dll 파일은 Dfshim.dll is related to Application Deployment Support Library Microsoft Corporation Microsoft® .NET Framework.처럼 정상적인 마이크로소프트사의 파일로 보입니다.

      제가 저기에서 언급하려는 부분은 실제 컴퓨터를 포맷하고 감염 안된 상태에서 해당 제품이 시스템 전체 검사를 하면서 일부 저런 진단을 하는 경향이 있었던 것으로 기억합니다.

      글쓰신 분의 컴퓨터 상태를 직접 보지 않아서 모르지만, 특정 프로그램 동작으로 인해 특정 환경의 컴퓨터가 문제를 일으킬 수는 있다고도 볼 수 있습니다.

      제가 질문자의 입장이라면 만약 악성코드가 의심이 든다면 유명 보안제품 몇 개를 이용하여 검사를 해보고 만약 진단되는 문제가 없다면 특정 프로그램 동작에서 문제를 야기하는 환경을 체크하여 해당 프로그램을 제거하거나 다른 프로그램으로 교체하는 등의 과정을 거쳐보겠습니다.

      adware generic3.bho 진단명이 AVG 진단명이라면 일단 진단명상 정식 진단으로 보기보다는 정상적인 프로그램이라도 IE에 등록되는 미확인 BHO 항목에 대한 진단으로 볼수 있기에 실제 BHO가 어떤 프로그램이 등록한지 확인을 해 보아야 겠습니다.

      인터넷 옵션의 추가관리기능에서 등록된 전체 BHO 항목을 검색하여 해당 값을 등록한 경로를 찾아 그 프로그램을 제거하시는 것도 좋을 것 같습니다.

    • 망상인 2009.01.15 05:31 댓글주소 수정/삭제

      답변, 감사합니다.