본문 바로가기

벌새::Security

공유기 취약점을 이용한 "악성어플 치료서비스" 경고창 생성 주의 (2014.4.27)

반응형

최근 공유기를 사용하는 사용자를 대상으로 웹 사이트 접속시 "악성어플 치료서비스" 경고창을 생성하여 "맞춤형 전용 백신 S.S Checker" 악성앱을 다운로드하도록 유도하는 사례가 확인되어 주의가 요구됩니다.

  <ZDNet Korea> KISA 사칭 악성앱 주의…공유기 취약점 이용 (2014.4.27)

 

한국인터넷진흥원(KISA)이 발표한 정보에 따르면 유무선 공유기를 사용하는 사용자 중 공유기 관리자 계정을 설정하지 않고 사용하는 과정에서 공격자에 의해 공유기 DNS 주소를 변경하여 "악성어플 치료서비스" 경고창 생성을 통해 "맞춤형 전용 백신 S.S Checker" 링크를 통해 추가적인 악성앱을 설치할 수 있다고 안내하고 있습니다.

 

현재 확인된 추가적인 감염 환경의 경우 안드로이드(Android)용 스마트폰 사용자 이외에 PC 사용자 역시 악성코드 감염으로 인하여 DNS 서버 주소가 변경되어 사용자가 네이버(Naver) 접속시 "악성어플 치료서비스" 경고창을 생성하여 S.S Checker 전용 백신으로 위장한 악성 파일의 다운로드를 유도하는 것으로 보입니다.

  ipTIME 유무선 공유기 CSRF 취약점 보안 권고 (2013.2.25)

 

ipTIME 유무선 공유기의 경우에는 2013년 2월경 펌웨어 업데이트를 통해 관리자 설정 메뉴에서 계정 비밀번호를 설정하여 로그인을 통한 인증을 받도록 변경되어 있으므로 ipTIME 유무선 공유기 사용자는 반드시 최신 버전의 펌웨어 설치 및 로그인을 통한 공유기 설정으로 접근할 수 있도록 변경하시기 바랍니다.

또한 공유기에 설정된 인터넷 연결 설정 메뉴에서 공유기 DNS 서버 설정값을 확인하여 기본 DNS 서버와 보조 DNS 서버 주소가 통신사에서 제공하는 DNS 서버 주소인지 확인하시기 바랍니다.

 

  • KT : (기본 DNS 서버) 168.126.63.1 / (보조 DNS 서버) 168.126.63.2
  • SK 브로드밴드 : (기본 DNS 서버) 210.220.163.82 / (보조 DNS 서버) 219.250.36.130
  • LG U+ : (기본 DNS 서버) 164.124.101.2 / (보조 DNS 서버) 203.248.252.2

그 외에도 제어판의 네트워크 연결 메뉴의 "로컬 영역 연결 속성"에서 "Internet Protocol Version 4 (TCP/IPv4)" 속성값을 확인하여 "자동으로 IP 주소 받기"가 아닌 "다음 IP 주소 사용"으로 변경된 상태로 의심스러운 DNS 서버 주소가 입력된 경우 기본값(자동)으로 변경하시기 바랍니다.

 

최근 포털 사이트 접속시 다양한 경고창을 생성하여 금융 정보를 비롯한 다양한 금전적 피해를 유발할 수 있는 악성 웹 사이트로 접속을 유도하는 행위가 빈번하게 발생하고 있으며, 이러한 동작의 중심에는 사용자 PC 또는 스마트폰이 감염되어 발생할 수도 있으므로 피해를 당하지 않도록 주의하시기 바랍니다.

 

 업데이트 : 유무선 공유기 조치 방법 (2014.4.29)

 

  <위보(WeVO) 고객지원> [긴급공지] 보안 취약성 패치 관련(네이버 페이지 악성어플) (2014.4.28)

 

  <KISA 인터넷침해대응센터> 유·무선 공유기 관리자 페이지 보안 설정 권고 (2014.4.28)

 

DNS 변조를 통해 "악성어플 치료서비스" 팝업창이 생성될 경우 공유기 초기화 및 최신 펌웨어 업그레이드를 통해 공유기 취약점 문제를 해결하시기 바라며, 한국인터넷진흥원(KISA)에서는 유무선 공유기 사용자를 대상으로 공유기 관리자 계정 설정, 와이파이(Wi-Fi) 비밀번호 설정, 공유기 원격 관리 기능 해제에 대한 보안 설정법을 안내하고 있으므로 참고하시기 바랍니다.

728x90
반응형
  • 악성코드 항상 주의하세요.
    하긴 정신차려도 코베어가는 악성코드이니 원~

  • 저희집 컴퓨터가 딱 이렇게 뜨는데 제가 컴맹이라서 이해가 잘 안되네요ㅠㅠ서비스에 전화해보니까 포맷하라는데 해야하나요?ㅠㅠ이게 공유기 문제인가요? 서비스센터에서는 토렌트 많이써서 그렇다고 말하는데 지금 집에서 와이파이쓰는 폰으로도 네이버 안들어가지는데 폰이랑 집컴퓨터로 토렌트쓰는거랑은 관련이 없는거 같은데ㅠㅠ

    • 공유기를 사용하시면서 이런 증상으로 네이버 접속도 안된다면 아마 DNS가 사용자의 통신사(ISP) DNS값에서 변경되었기 때문으로 보입니다.

      포맷 여부를 떠나서 공유기 관리자 설정에서 DNS 설정값이 통신사 DNS 값과 일치한지 또는 PC의 제어판에서 제공하는 로컬 영역 속성에 표시된 DNS값이 특정값으로 지정되어 있는지 확인하여 기본값으로 수정하시면 될 것 같습니다.

      물론 수정하여도 현재 시스템이 감염되어 있다면 지속적으로 DNS를 변경할 수 있으므로 백신 프로그램으로 정밀 검사도 하시길 권장합니다.

      그리고 포맷을 하여도 공유기 DNS 설정 부분은 변경되지 않기 때문에 반드시 사용자가 확인하여 수정하거나 아니면 공유기 설정 초기화를 해보시기 바랍니다.

    • 그리고 정 안되시면 PC 수리업체보다는 사용하시는 인터넷 기사분을 통해 DNS 설정값을 확인 받아 보시기 바랍니다.

    • BlogIcon dd 2014.04.28 23:03 댓글주소 수정/삭제

      보고따라했더니 해결됐네요ㅎㅎ감사합니다! 그런데 무료백신으로는 검사하니까 아무이상없다고 하는데 못잡아내는걸까요? 또이렇게될까봐서ㅠㅠ

  • 저는 wevo 쓰는데 어떻게해야하나요 ㅠㅠㅠㅠ
    저도 네이버들어가면 저 창이 뜨는데 뭐가뭔지 ㅠㅠㅠㅠdns값은 어떻게 변경하는거죠?ㅠㅠ

    • J 2014.04.28 23:28 댓글주소 수정/삭제

      저도 wevo공유기 쓰는데요..죄송하지만 설정방법좀 얻을수있을가요? ㅠ.ㅠ

    • 공유기마다 관리자 설정법이 달라서 제가 해결해 드릴 수는 없습니다. 관련 제작사에서 제공하는 매뉴얼을 참고할 수 밖에는 없을 것 같습니다.

    • 페르 2014.05.02 12:56 댓글주소 수정/삭제

      저두wevo사용자인데 위에랑 똑같이 하시면 잘 해결되요 하나씩 해보세요

  • 저 지금 dns값 수정하니까 네이버 들어가져요!!!! ㅠㅠㅠㅠ 뭐 또 조심해야할거있나요??? 지금 v3도 돌리고있어요 ㅠㅠ너무 무섭네요

  • [울지않는벌새 블로그 공지]

    해당 증상이 발생하는 분 중에서 공유기 또는 네트워크 연결 속성에 표시된 DNS 서버 주소가 변경된 분은 변경된 DNS 주소를 댓글을 통해 알려주시기 바랍니다. 감사합니다.

  • 이런 2014.04.29 00:49 댓글주소 수정/삭제 댓글쓰기

    저도 지금 네이버 저 증상때문에 검색하다 들어왔어요!! 왠지 악성코드 같아서 다운받지 않길 잘했네요. 저도 wevo공유기 비번걸고 사용중이었는데.. 지금 알려주신 방법 사용해 봐야겟어요.

    • 비밀번호는 영문+숫자로 길게 설정하시기 바랍니다. 또한 공유기 취약점이 있을 수 있으므로 최신 펌웨어 버전을 확인하여 업데이트 하시기 바랍니다.

  • 올려주신 자료대로 따라 하니 해결됐네요~ 감사합니다 ^^

  • 이거 모르고 다운받았는데 폰에 download에있던 파일이 다 삭제되고 이 앱은 찾을수가없더라구요ㅠㅠ 지우고싶은데 파일을 찾을수가없어요... 저 어떻게해야되요ㅠㅠㅠ

    • 다운로드한 후에 설치한 것이 아니라면 다운로드 폴더에 있던 설치앱은 이미 삭제된 것이 아닌가 싶습니다.

      만약을 위해 모바일 백신으로 정밀 검사를 해보시기 바랍니다.

      정 불안하시면 중요 데이터 백업 후 공장초기화를 권장합니다.

    • BlogIcon ㅇㅇ 2014.04.30 18:48 댓글주소 수정/삭제

      설치까지 눌러서 했는데 설치는 안돼있고 앱을 찾을수가 없더라구요. 그래서 아까 마켓에서 진짜 폰키퍼 깔아서 검사했더니 ss checker가 뜨길래 삭제는 했습니다...근데 이런 악성앱은 삭제만으로는 뭔가 안끝난것같아서 불안하네요

    • 현재 실행 중인 앱 또는 기기관리자에서 실행 중인지도 확인해 보시기 바랍니다.

      불안하시면 공장 초기화가 제일 속 편하실겁니다.

  • 위보고객지원실 2014.04.30 19:22 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 벌새님 위보 고객 지원실입니다.
    항상 보안에 관한 유익한 정보를 제공해 주셔서 감사드립니다.
    포스트 해주신 내용중 저희 제품에 대한 언급을 해주셨는데, 저희제품을 통해 집중유포되고 있다고 하신 부분은 사실과 다른 부분이 있습니다. KISA의 보도자료를 보시더라도 특정 공유기업체를 언급하지 않은 것을 알 수 있을 것입니다. 물론 저희제품도 펌웨어 업데이트를 하지 않은 제품은 문제가 있는것이 사실이지만, 저희제품을 지칭하여 집중되고 있다는 표현은 수정 요청 드립니다. 항상 고객을 먼저 생각하는 회사가 되겠습니다. 감사합니다. 위보 고객지원실 드림

  • 저 인터넷 프로토콜 버전 4 속성이 안 들어가지면 어떻게 해야하나요 아예 속성이 눌러지지도 않는데

    • 공유기 사용자라면 공유기 관리자 설정으로 들어가서 DNS가 변조되어 있는지 확인해 보시기 바랍니다. 만약 변경되어 있는데 설정을 변경할 수 없도록 되어 있다면 공유기 초기화를 통해 문제 해결을 해보시기 바랍니다.

      또한 PC의 속성 버튼이 비활성화된 경우에는 관련 증상을 본 적이 없어서 답변이 어렵습니다. 아마 레지스트리 조작이 있는게 아닌가 싶습니다.ㅠㅠ

      혹시 "Internet Protocol Version 4 (TCP/IPv4) 항목의 체크가 해제되어 있지 않나 확인하여 반드시 체크하시고 속성 버튼을 확인해 보시기 바랍니다.

  • 감사합니다...덕분에 잘 해결했어요^^

  • ㅇㅇ 2014.05.02 20:59 댓글주소 수정/삭제 댓글쓰기

    제 컴퓨터랑 핸드폰이 네이버만 들어가면 자꾸 저게 떠서요 벌새님이 하라고 한대로 따라했는데도 계속 안되요 ㅠㅠ 저희집이 SK써서 저 기본 DNS로 바꿨는데도 자꾸 192.168.25.4이 아이피로 접속이 되요 원래는 이 아이피 아니거든요 ㅠㅠ 네트워크가서 자동설정해도 계속 192.168.25.4이거로만 접속되요 ㅠㅠ 어떡하죠 ㅠㅠ

    • 공유기 초기화(공유기 기기 뒷면에 초기화 버튼이 있을겁니다.)를 한 후에 공유기 제작사에서 제공하는 최신 펌웨어로 업데이트하시기 바라며 KISA에서 안내하는 보안 설정을 해보시기 바랍니다.

    • 특히 공유기 설정에서 원격 관리 메뉴를 찾아서 외부에서 공유기 설정을 원격으로 변경하지 못하도록 기능을 OFF 하시기 바랍니다.

    • ㅇㅇ 2014.05.02 21:35 댓글주소 수정/삭제

      제가 공유기 초기화도 다 하고 원격 조정도 막아놨는데요 ㅠㅠ 공유기 초기화하고 다시 켜면 또 dns그게 떠요 ㅠㅠㅠㅠㅠㅠ

    • 저라면 사용하시는 공유기 펌웨어가 최신 버전인지 확인해 볼 것 같고, PC 시스템의 네트워크 속성에서 DNS 서버 주소가 정상인지 확인해 보시기 바라며, 마지막으로 PC가 감염 상태가 아닌지 백신으로 정밀 검사를 해보시기 바랍니다.

      그 후에도 반복된다면 보호나라(국번없이 118번, http://www.boho.or.kr/index.jsp)에 원격 지원을 요청해 보시기 바랍니다.

    • ㅇㅇ 2014.05.02 21:58 댓글주소 수정/삭제

      혹시나 해서 초기화 다시 하고 업그레이드 하니까 됐어요!!!!! 진짜 감사합니다 ㅠㅠㅠㅠㅠㅠㅠㅠ 뭣도 모르고 악성프로그램이 보호화 프로그램인 줄 알고 받을 뻔 했네요 ㅠㅠㅠㅠㅠㅠ 유용한 정보 감사드려요!!!!

    • 해결되셨다니 다행입니다. 반드시 공유기 보안 설정을 잘하시고 이용하세요.^^

  • 으아 2014.05.04 22:23 댓글주소 수정/삭제 댓글쓰기

    윈도우7쓰는데 제어판에 로컬영역연결속성이 없으면 어떻하나요 ㅜ
    제가 공유기쓰는데 공유기 관리자는 어떻게 들어가나요??

  • 덜덜이 2014.06.02 12:09 댓글주소 수정/삭제 댓글쓰기

    몰라서 me.naver.com을 썼습니다...
    중 3인데 고칠수 있을란지. 으..