728x90
반응형
● Adware.BHO(generic) (Spyware)
REGKEY:HKLM\software\microsoft\internet explorer\activex compatibility\{557b9038-fc87-453c-8b08-32d85f46eac4}
REGDATA:HKU\S-1-5-21-1659004503-1767777339-682003330-1004\software\microsoft\internet explorer\main\Start Page
REGDATA:HKU\S-1-5-19\control panel\desktop\Wallpaper
REGDATA:HKU\S-1-5-20\control panel\desktop\Wallpaper
REGDATA:HKU\S-1-5-21-1659004503-1767777339-682003330-1004\control panel\desktop\Wallpaper
● Possible Browser Hijack attempt (misc)
REGKEY:HKLM\software\microsoft\internet explorer\activex compatibility\{557b9038-fc87-453c-8b08-32d85f46eac4}
REGDATA:HKU\S-1-5-21-1659004503-1767777339-682003330-1004\software\microsoft\internet explorer\main\Start Page
REGDATA:HKU\S-1-5-19\control panel\desktop\Wallpaper
REGDATA:HKU\S-1-5-20\control panel\desktop\Wallpaper
REGDATA:HKU\S-1-5-21-1659004503-1767777339-682003330-1004\control panel\desktop\Wallpaper
● Possible Browser Hijack attempt (misc)
먼저 Possible Browser Hijack attempt 진단에 대해 살펴보겠습니다.
한글로 변역을 한다면 웹브라우저를 하이젝(특정 사이트 유도 또는 고정)을 시도할 가능성이 있으므로 진단한다고 나옵니다.
실제 진단하는 부분은 사용자 컴퓨터에 저장되어 있는 [즐겨찾기] 항목으로 국내 웹사이트 Daum, Dreamwiz 등 포털 사이트의 즐겨찾기 모두를 진단하고 있습니다.
여기에서 주목할 점은 F-Secure 제품의 진단 엔진 중 하나인 Lavasoft사의 Ad-Aware 엔진의 사용입니다. 해당 엔진은 제 기억으로는 2003년 경부터 국내 포털 사이트의 즐겨찾기 부분을 진단하고 있었습니다.
그 이유는 모르겠지만 아마 과거 일정 기간 동안 국내 포털 사이트에서 시작 페이지 고정 등을 강제적으로 변경하지 못하게 하는 등의 행위를 파악하고 진단을 시작한 것이 지금까지 이어져 오는 것으로 보입니다.
이유야 어찌되었건 현재의 해당 웹사이트는 시작 페이지 고정이나 하이젝 관련 기능은 없다고 봐야하므로 해당 진단을 악성코드로 판단하고 실제 치료를 시도하면 자신의 즐겨찾기 항목 일부가 삭제된다는 것을 아시기 바랍니다.
물론 해당 진단 항목을 보시면 일부 해외 악성코드 유포 사이트의 즐겨찾기도 포함되어 있으므로 해당 진단이 오진이라고 볼 수는 없을 것 같습니다. 이 문제는 국내 포털 사이트의 과거 잘못된 행위의 댓가가 아닐까 생각됩니다.
이제 Adware.BHO(generic) 관련 진단에 대해 알아보겠습니다.
BHO(Browser Helper Object) 또는 브라우저 도우미 개체는 윈도우 탐색기와 IE기능을 확장하는데 사용하는 기능이다. BHO에 등록된 Spyware 또는 Adware는 DLL형태로 윈도우탐색기나 IE에 의하여 실행되기 때문에 윈도우 작업관리자에서 확인이 불가능하고, 윈도우 시작 시 윈도우 탐색기에 의하여 자동실행된다.
Spyware나 Adware 는 BHO를 이용하여 IE시작페이지 변경이 가능하고 팝업광고를 출력하거나, 주소표시줄을 감시하고 원하지 않는 주소로 변경 하는 등의 여러가지 악의적인 목적으로 사용할 수 있다.
Spyware나 Adware 는 BHO를 이용하여 IE시작페이지 변경이 가능하고 팝업광고를 출력하거나, 주소표시줄을 감시하고 원하지 않는 주소로 변경 하는 등의 여러가지 악의적인 목적으로 사용할 수 있다.
[출처 : 안철수연구소]
BHO에 대한 용어 설명에서와 같이 실제 진단 내용을 세부적으로 살펴보겠습니다.
HKLM\software\microsoft\internet explorer\activex compatibility\{557b9038-fc87-453c-8b08-32d85f46eac4}
또한 해당 파일이나 레지스트리가 실제 악성코드 동작과 관련된 파일인지 확인이 불가능한 상태입니다.
HKU\S-1-5-21-1659004503-1767777339-682003330-1004\software\microsoft\internet explorer\main\Start Page
실제 본인이 신뢰할 수 있는 웹사이트를 시작 페이지로 설정을 하였는데도 위와 같이 진단을 하는 것은 문제가 있어 보입니다.
HKU\S-1-5-19\control panel\desktop\Wallpaper
HKU\S-1-5-20\control panel\desktop\Wallpaper
특별히 악의적인 배경이 따로 지정되어 있지 않은 상태에서 진단하는 문제점을 가지고 있습니다.
HKU\S-1-5-21-1659004503-1767777339-682003330-1004\control panel\desktop\Wallpaper
위와 같이 Ad-Aware 엔진에서의 감염 의심 진단(휴리스틱)은 예방 차원에서는 좋은 기술 중의 하나이겠지만 자세히 살펴보지 않는 일반인의 경우에는 실제 해당 진단을 믿고 치료를 할 경우 문제가 생깁니다.
문제점의 경우 현재 사용자가 지정한 배경 화면이 사라지고 검은색 배경으로 변경되며(재부팅 시), 자신이 지정한 국내 웹사이트 즐겨찾기 일부가 사라지는 현상이 있습니다.
F-Secure 사용자 또는 Ad-Aware 사용자분들은 해당 진단명이 나올 경우 주의하시기 바랍니다.
728x90
반응형