본문 바로가기

벌새::Security

네이버(Naver) 접속시 가짜 "Adobe Flash Player" ActiveX 설치창 생성 주의 (2015.4.14)

최근 공유기 DNS 서버 주소가 외부 해킹을 통해 변경된 환경에서 네이버(Naver) 포털 사이트 접속시 "Adobe Systems Incorporated" 게시자가 배포하는 "Adobe Flash Player" ActiveX 설치창이 생성되는 사례가 확인되었습니다.(※ 정상적인 "Adobe Flash Player" ActiveX 설치창과 동일합니다.)

현재 공개된 정보를 통해 유추해보면 해킹된 공유기를 이용하여 네이버(Naver) 메인 페이지 접속시 "h**p://www.naver.com/adobe/index.html" URL 주소로 연결되어 가짜 "Adobe Flash Player" ActiveX 설치창을 생성합니다.

 

해당 동작은 Internet Explorer, Google Chrome 웹 브라우저에서 동일한 형태로 표시가 되는 것으로 보이며, 사용자가 정상적인 Adobe Flash Player로 생각하여 설치를 진행할 경우 악성코드 감염이 이루어질 것으로 추정됩니다.

 

참고로 Google Chrome 웹 브라우저에서도 가짜 "Adobe Flash Player" ActiveX 설치창이 표시되는 이유는 해당 설치창은 실제로는 ActiveX 컨트롤 설치 방식이 아닌 이미지로 제작된 배너 형태의 설치 방식이기 때문으로 판단됩니다.

 

1. 사용자 계정 컨트롤(UAC) 활성화 사용자 확인 방법

사용자 계정 컨트롤(UAC) 보안 기능을 활성화한 경우에는 네이버(Naver) 메인 페이지에서 생성된 "Adobe Flash Player" ActiveX 설치창의 "자세한 정보 표시" 항목을 클릭하시기 바랍니다.

"프로그램 위치" 정보에 표시된 "h**p://fpdownload2.macromedia.com/pub/..." URL 주소가 아닌 경우에는 악성 코드로 판단하시기 바라며, 추가적인 검증을 위해서는 "이 게시자의 인증서에 대한 정보 표시" 항목을 클릭하시기 바랍니다.

생성된 인증서 정보에서 위의 그림과 같이 정상적인 인증서가 아닌 "이 인증서가 만료되었거나 아직 유효하지 않습니다."와 같은 메시지가 표시되거나 "인증 경로" 탭에서 표시하는 인증서가 유효하지 않다고 표시될 경우에는 가짜 "Adobe Flash Player" 설치창으로 판단하시고 절대로 설치하지 않도록 하시기 바랍니다.

 

2. 사용자 계정 컨트롤(UAC) 비활성화 사용자 확인 방법

사용자 계정 컨트롤(UAC) 보안 기능을 사용하지 않는 사용자는 네이버(Naver) 메인 페이지 접속시 "Internet Explorer - 보안 경고" 창을 통해 생성된 "Adobe Flash Player" ActiveX 설치창의 게시자에 표시된 "Adobe Systems Incorporated" 항목을 클릭하시기 바랍니다.

생성된 "디지털 서명 정보"에서 "이 디지털 서명은 유효합니다."라는 메시지가 아닌 경우에는 가짜 "Adobe Flash Player" ActiveX 설치창으로 판단하시고 절대로 설치하지 않도록 하시기 바랍니다.

 

3. 공유기 DNS 서버 주소 변조 확인하기

위와 같이 평소와 다르게 네이버(Naver) 메인 페이지 접속시 "Adobe Flash Player" ActiveX 설치창이 생성되는 경우에는 공유기 환경 설정값 중에서 기본/보조 DNS 서버 주소가 수동으로 설정되어 통신사에서 제공하는 DNS 서버 주소가 아닌 IP 주소로 설정되어 있는지 확인하시기 바랍니다.

공유기 DNS 서버가 임의로 변경되어 가짜 포털 사이트로 접속되어 문제가 발생하는 사용자는 공유기 공장 초기화, 펌웨어 업데이트, 보안 설정을 통해 해킹을 통해 임의로 DNS 서버 주소가 변경되지 않도록 조치를 취하시기 바랍니다.

 

현재 가짜 "Adobe Flash Player" ActiveX 설치창을 통해 설치되는 악성코드에 대한 정보는 확인되지 않고 있으므로 만약 설치를 하신 경우에는 백신 프로그램을 이용한 정밀 검사를 반드시 하시기 바랍니다.

 

 추신 : 해당 증상이 발생하여 공유기 DNS 서버 주소가 변경된 경우 등록된 IP 주소를 비밀 댓글로 알려주시면 감사하겠습니다.

 

 
  • jsjh 2015.04.14 16:09 댓글주소 수정/삭제 댓글쓰기

    IT 학과에서 공부하고 있습니다..
    정말 도움잘되고있네요
    앞으로도 잘올려주세요
    감사합니다!

  • 비밀댓글입니다

    • 수동으로 dns 서버 주소가 설정되어 있는 경우 체크 해제를 하시면 자동으로 해결됩니다. 더 중요한 것은 펌웨어 최신 버전으로 업데이틑 안하시면 해결되지 않으므로 업데이트가 필수입니다.

  • 얼마전까지밀해도 가짜크롬을 이용하더만 이제는 어도비 플래쉬 플레이어이군요.

  • 비밀댓글입니다

    • 윈도우를 처음 설치한 이후 웹 사이트 접속시 생성되는 Adobe Flash Player 설치 화면은 정상적인 동작입니다.

      정상 여부 판단은 생성된 설치창의 게시자를 클릭하여 정상적인 인증서를 가지고 있는지 여부로 판단이 되며, 여기에서 언급하는 설치창에는 게시자 클릭시 인증서가 표시되지 않는 것으로 알고 있습니다.

  • 비밀댓글입니다

    • 공유기의 DNS 서버 주소가 수동으로 설정되어 통신사 DNS 서버가 아닌 수상한 IP인지 점검해 보시기 바랍니다.

      그리고 윈도우 설치 후 처음으로 네이버 접속하면 Flash 설치창이 생성되는 동작도 정상입니다.

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 해당 증상은 이 글에서 언급한 악성코드 유포 행위는 아닌 것으로 보입니다.

      일부 PC 환경에서 Adobe Flash Player 프로그램이 최신 버전으로 설치되어 있는 경우에도 네이버 접속시(Daum 접속시에는 증상 발생 안함) 반복적으로 설치를 요구하는 창이 생성되며 설치시 이미 설치되어 있다고 표시합니다.

      해당 증상을 해결하기 위해서는 증상이 발생하기 이전으로 시스템 복원 후 Adobe Flash Player 최신 버전으로 업데이트하시는 것이 가장 효과적으로 문제를 해결할 수 있습니다.

      단순히 프로그램 삭제 후 설치를 하여도 문제가 반복되는 것으로 알려져 있습니다.

  • 비밀댓글입니다

  • 비밀댓글입니다

    • Adobe Flash Player 프로그램은 원래 정상적인 프로그램으로 모든 PC에 설치되어 있습니다.

      실제 질문하신 PC에 설치된 것은 아마도 정상적인 프로그램일겁니다. 만약 악성 프로그램이라면 제어판에 친절하게 자신이 설치되어 있다고 알려주지도 않겠죠.

      그리고 포맷을 하시면 모든 프로그램은 삭제됩니다.

  • 비밀댓글입니다

    • Adobe Flash Player 18 ActiveX 프로그램은 Internet Explorer 웹 브라우저에서 Flash 영상을 보기 위해 필수적으로 설치해야 하는 정상적인 프로그램입니다. 안심하세요.^^

  • 비밀댓글입니다

  • 비밀댓글입니다

    • 윈도우 버전이 무엇인지 모르지만 일반적으로 기존에 Adobe Flash Player 제품이 설치되어 있다면 그런 식으로 업데이트 방식의 설치를 요구하지 않습니다.

      처음부터 Adobe Flash Player 프로그램이 설치되어 있지 않았다면 생성될 수도 있지만 만약 설치된 상태에서 새로운 업데이트가 있다면 윈도우 부팅시 설치창을 띄우는 방식으로 업데이트를 요구합니다.

      또한 저 글에서도 언급했지만 "프로그램 위치"가 어디에서 다운로드하는지 잘 확인하셔야 합니다.

  • 저는 네이버에 아도브 설치창을 깔라고 나오지않고 플래시 플레이어를 깔고싶은데 서명이 손상되었거나 잘못되었다고만 나옵니다 혹시 방법이없나요?

    • 참 어려운 문제 같습니다. 핵심은 파일이 제대로 다운로드되지 않아서 발생하는 증상으로 보이는데 우선은 인터넷 임시 파일을 모두 삭제(인터넷 옵션에서 삭제 기능 제공)하신 후 https://get.adobe.com/kr/flashplayer/ 사이트에서 파일을 다운로드하여 설치해 보시기 바랍니다.

  • 하라고하신대로 해봤는데도 똑같이 나옵니다 저번에 이블로그를 보고 이익스플로러or컴퓨터에 adobe를 설치하는것을 차단시키는것을 해놓고 간것같은거 같은데 쓰신글이 없어진거같습니다

  • 정말 감사합니다 알려주신 글을 보고다시해봤는데 설치실행이 되었습니다. 감사합니다!!

  • 123 2016.03.11 21:24 댓글주소 수정/삭제 댓글쓰기

    제가 오늘 갑자기 저런창이 떠서 제어판들어가봤더니
    adobe flash player 21 activex가 오늘날짜로 설치돼있길래 삭제를했는데
    이거 그냥 단순히 제어판에서 삭제하면 완전히 삭제되는거 맞나요???

    • 정상적인 프로그램을 삭제하신 듯 합니다. 아마도 공유기를 통해 안드로이드 악성앱을 설치하게 하는게 아닌가 싶습니다. 공유기 펌웨어 업데이트와 비밀번호 설정을 제대로 하시고 사용하세요.