본문 바로가기

벌새::Security

네이버(Naver) 접속시 가짜 "Adobe Flash Player" ActiveX 설치창 생성 주의 (2015.4.14)

728x90
반응형

최근 공유기 DNS 서버 주소가 외부 해킹을 통해 변경된 환경에서 네이버(Naver) 포털 사이트 접속시 "Adobe Systems Incorporated" 게시자가 배포하는 "Adobe Flash Player" ActiveX 설치창이 생성되는 사례가 확인되었습니다.(※ 정상적인 "Adobe Flash Player" ActiveX 설치창과 동일합니다.)

현재 공개된 정보를 통해 유추해보면 해킹된 공유기를 이용하여 네이버(Naver) 메인 페이지 접속시 "h**p://www.naver.com/adobe/index.html" URL 주소로 연결되어 가짜 "Adobe Flash Player" ActiveX 설치창을 생성합니다.

 

해당 동작은 Internet Explorer, Google Chrome 웹 브라우저에서 동일한 형태로 표시가 되는 것으로 보이며, 사용자가 정상적인 Adobe Flash Player로 생각하여 설치를 진행할 경우 악성코드 감염이 이루어질 것으로 추정됩니다.

 

참고로 Google Chrome 웹 브라우저에서도 가짜 "Adobe Flash Player" ActiveX 설치창이 표시되는 이유는 해당 설치창은 실제로는 ActiveX 컨트롤 설치 방식이 아닌 이미지로 제작된 배너 형태의 설치 방식이기 때문으로 판단됩니다.

 

1. 사용자 계정 컨트롤(UAC) 활성화 사용자 확인 방법

사용자 계정 컨트롤(UAC) 보안 기능을 활성화한 경우에는 네이버(Naver) 메인 페이지에서 생성된 "Adobe Flash Player" ActiveX 설치창의 "자세한 정보 표시" 항목을 클릭하시기 바랍니다.

"프로그램 위치" 정보에 표시된 "h**p://fpdownload2.macromedia.com/pub/..." URL 주소가 아닌 경우에는 악성 코드로 판단하시기 바라며, 추가적인 검증을 위해서는 "이 게시자의 인증서에 대한 정보 표시" 항목을 클릭하시기 바랍니다.

생성된 인증서 정보에서 위의 그림과 같이 정상적인 인증서가 아닌 "이 인증서가 만료되었거나 아직 유효하지 않습니다."와 같은 메시지가 표시되거나 "인증 경로" 탭에서 표시하는 인증서가 유효하지 않다고 표시될 경우에는 가짜 "Adobe Flash Player" 설치창으로 판단하시고 절대로 설치하지 않도록 하시기 바랍니다.

 

2. 사용자 계정 컨트롤(UAC) 비활성화 사용자 확인 방법

사용자 계정 컨트롤(UAC) 보안 기능을 사용하지 않는 사용자는 네이버(Naver) 메인 페이지 접속시 "Internet Explorer - 보안 경고" 창을 통해 생성된 "Adobe Flash Player" ActiveX 설치창의 게시자에 표시된 "Adobe Systems Incorporated" 항목을 클릭하시기 바랍니다.

생성된 "디지털 서명 정보"에서 "이 디지털 서명은 유효합니다."라는 메시지가 아닌 경우에는 가짜 "Adobe Flash Player" ActiveX 설치창으로 판단하시고 절대로 설치하지 않도록 하시기 바랍니다.

 

3. 공유기 DNS 서버 주소 변조 확인하기

위와 같이 평소와 다르게 네이버(Naver) 메인 페이지 접속시 "Adobe Flash Player" ActiveX 설치창이 생성되는 경우에는 공유기 환경 설정값 중에서 기본/보조 DNS 서버 주소가 수동으로 설정되어 통신사에서 제공하는 DNS 서버 주소가 아닌 IP 주소로 설정되어 있는지 확인하시기 바랍니다.

공유기 DNS 서버가 임의로 변경되어 가짜 포털 사이트로 접속되어 문제가 발생하는 사용자는 공유기 공장 초기화, 펌웨어 업데이트, 보안 설정을 통해 해킹을 통해 임의로 DNS 서버 주소가 변경되지 않도록 조치를 취하시기 바랍니다.

 

현재 가짜 "Adobe Flash Player" ActiveX 설치창을 통해 설치되는 악성코드에 대한 정보는 확인되지 않고 있으므로 만약 설치를 하신 경우에는 백신 프로그램을 이용한 정밀 검사를 반드시 하시기 바랍니다.

 

 추신 : 해당 증상이 발생하여 공유기 DNS 서버 주소가 변경된 경우 등록된 IP 주소를 비밀 댓글로 알려주시면 감사하겠습니다.

 

 
728x90
반응형