울지않는벌새 : Security, Movie & Society

F-Secure 제품의 Adware.BHO(generic) 진단과 즐겨찾기 문제점

벌새::Security

세계에서 단일 제품으로는 가장 많은 엔진을 보유한 F-Secure 제품을 이용하여 시스템 전체 검사를 하면 특히 국내 인터넷 사용자들에게 공통적으로 진단되는 2가지 진단명이 있습니다.

● Adware.BHO(generic) (Spyware)

REGKEY:HKLM\software\microsoft\internet explorer\activex compatibility\{557b9038-fc87-453c-8b08-32d85f46eac4}
REGDATA:HKU\S-1-5-21-1659004503-1767777339-682003330-1004\software\microsoft\internet explorer\main\Start Page
REGDATA:HKU\S-1-5-19\control panel\desktop\Wallpaper
REGDATA:HKU\S-1-5-20\control panel\desktop\Wallpaper
REGDATA:HKU\S-1-5-21-1659004503-1767777339-682003330-1004\control panel\desktop\Wallpaper


● Possible Browser Hijack attempt (misc)

진단명을 보시면 아시겠지만 generic 또는 Possible로 나오는 것으로 소위 의심스러운 부분에 대한 진단으로 봐야할 것 같습니다.

먼저 Possible Browser Hijack attempt 진단에 대해 살펴보겠습니다.

한글로 변역을 한다면 웹브라우저를 하이젝(특정 사이트 유도 또는 고정)을 시도할 가능성이 있으므로 진단한다고 나옵니다.

실제 진단하는 부분은 사용자 컴퓨터에 저장되어 있는 [즐겨찾기] 항목으로 국내 웹사이트 Daum, Dreamwiz 등 포털 사이트의 즐겨찾기 모두를 진단하고 있습니다.

여기에서 주목할 점은 F-Secure 제품의 진단 엔진 중 하나인 Lavasoft사의 Ad-Aware 엔진의 사용입니다. 해당 엔진은 제 기억으로는 2003년 경부터 국내 포털 사이트의 즐겨찾기 부분을 진단하고 있었습니다.

그 이유는 모르겠지만 아마 과거 일정 기간 동안 국내 포털 사이트에서 시작 페이지 고정 등을 강제적으로 변경하지 못하게 하는 등의 행위를 파악하고 진단을 시작한 것이 지금까지 이어져 오는 것으로 보입니다.

이유야 어찌되었건 현재의 해당 웹사이트는 시작 페이지 고정이나 하이젝 관련 기능은 없다고 봐야하므로 해당 진단을 악성코드로 판단하고 실제 치료를 시도하면 자신의 즐겨찾기 항목 일부가 삭제된다는 것을 아시기 바랍니다.

물론 해당 진단 항목을 보시면 일부 해외 악성코드 유포 사이트의 즐겨찾기도 포함되어 있으므로 해당 진단이 오진이라고 볼 수는 없을 것 같습니다. 이 문제는 국내 포털 사이트의 과거 잘못된 행위의 댓가가 아닐까 생각됩니다.

이제 Adware.BHO(generic) 관련 진단에 대해 알아보겠습니다.

BHO(Browser Helper Object) 또는 브라우저 도우미 개체는 윈도우 탐색기와 IE기능을 확장하는데 사용하는 기능이다. BHO에 등록된 Spyware 또는 Adware는 DLL형태로 윈도우탐색기나 IE에 의하여 실행되기 때문에 윈도우 작업관리자에서 확인이 불가능하고, 윈도우 시작 시 윈도우 탐색기에 의하여 자동실행된다.

Spyware나 Adware 는 BHO를 이용하여 IE시작페이지 변경이 가능하고 팝업광고를 출력하거나, 주소표시줄을 감시하고 원하지 않는 주소로 변경 하는 등의 여러가지 악의적인 목적으로 사용할 수 있다.

[출처 : 안철수연구소]

BHO에 대한 용어 설명에서와 같이 실제 진단 내용을 세부적으로 살펴보겠습니다.

HKLM\software\microsoft\internet explorer\activex compatibility\{557b9038-fc87-453c-8b08-32d85f46eac4}

해당 ActiveX 관련 항목과 관련된 파일 정보를 찾아보면 C:\WINDOWS\search.dll 관련 파일과 연관이 된다는 것을 확인하였습니다.

하지만 실제 해당 파일은 정해진 위치에 없으며 단지 레지스트리 정보만으로 의심을 하는 것으로 보입니다.

또한 해당 파일이나 레지스트리가 실제 악성코드 동작과 관련된 파일인지 확인이 불가능한 상태입니다.

HKU\S-1-5-21-1659004503-1767777339-682003330-1004\software\microsoft\internet explorer\main\Start Page

해당 레지스트리 정보는 사용자의 웹브라우저 시작 페이지 설정과 관련된 정보입니다.

실제 본인이 신뢰할 수 있는 웹사이트를 시작 페이지로 설정을 하였는데도 위와 같이 진단을 하는 것은 문제가 있어 보입니다.

HKU\S-1-5-19\control panel\desktop\Wallpaper
HKU\S-1-5-20\control panel\desktop\Wallpaper

해당 레지스트리 정보 역시 데스크탑의 배경화면 설정 관련 정보로 보입니다.

특별히 악의적인 배경이 따로 지정되어 있지 않은 상태에서 진단하는 문제점을 가지고 있습니다.

HKU\S-1-5-21-1659004503-1767777339-682003330-1004\control panel\desktop\Wallpaper

해당 레지스트리 정보도 윈도우에서 제공하는 정상적인 방식으로 배경화면을 설정하였는데 진단하는 문제점을 가지고 있습니다.

위와 같이 Ad-Aware 엔진에서의 감염 의심 진단(휴리스틱)은 예방 차원에서는 좋은 기술 중의 하나이겠지만 자세히 살펴보지 않는 일반인의 경우에는 실제 해당 진단을 믿고 치료를 할 경우 문제가 생깁니다.

문제점의 경우 현재 사용자가 지정한 배경 화면이 사라지고 검은색 배경으로 변경되며(재부팅 시), 자신이 지정한 국내 웹사이트 즐겨찾기 일부가 사라지는 현상이 있습니다.

F-Secure 사용자 또는 Ad-Aware 사용자분들은 해당 진단명이 나올 경우 주의하시기 바랍니다.