본문 바로가기

벌새::Analysis

DNS 네임서버 변경을 통한 "Ads by DNSUnlocker" 해외 광고 주의

반응형
● 최초 작성 : 2016년 1월 23일

● 1차 수정 : 2016년 1월 28일 - 추가적인 정보 수집을 통한 내용 수정

 

최근 블로그에서 안내하는 Runscanner 프로그램을 통한 악성 프로그램 문의를 받던 중 DNS 네임서버 주소를 변경하여 웹 브라우저 사용시 "Ads by DNSUnlocker" 광고창을 생성하는 행위가 발생하는 부분을 확인하였습니다.

 

Trojan.DNSChanger 악성코드를 통한 DNS 네임서버 주소 변경을 시도하는 감염 방식에 대한 정보는 이미 공개된 상태이므로 참고하시기 바라며, 이 글에서는 국내 인터넷 사용자 중에서 DNSChanger 악성코드 감염으로 변경된 대표적인 사례를 살펴보도록 하겠습니다.

 

 

  • 82.163.142.3 / 95.211.158.130
  • 82.163.142.4 / 95.211.158.131
  • 82.163.142.6 / 95.211.158.133
  • 82.163.142.7 / 95.211.158.134
  • 82.163.143.176 / 82.163.142.178
  • 199.203.131.145 / 82.163.143.167

메일을 통해 수집된 로그(Log)를 확인해보면 DNS 네임서버가 다양한 악성 IP 서버로 변경되어 있는 부분을 확인할 수 있습니다.

 

 

변경된 DNS 네임서버 주소의 영향으로 인터넷 접속시 이스라엘(Israel)에 위치한 "199.203.131.145 (mallgw.polyram-group.com)" 서버로 통신이 이루어지는 것을 알 수 있습니다.

 

 

이후 웹 브라우저를 실행하여 인터넷 접속 과정에서 "m51.dnsqa.me/QualityCheck/gg.js" 스크립트 파일을 체크하여 광고 동작 여부를 결정할 수 있습니다.

 

 

만약 유효한 인터넷 검색 및 웹 사이트 접속이 이루어질 경우에는 "m51.dnsqa.me/QualityCheck/ga.js" 스크립트을 체크하는 부분을 확인할 수 있습니다.

 

 

이를 통해 스크립트에 등록된 다양한 광고 구성값 정보를 기반으로 "Ads by DNSUnlocker" 광고를 비롯한 다양한 형태의 광고가 노출되는 것을 다음과 같이 확인할 수 있습니다.

 

 

특히 변경된 네트워크 환경에서는 악성 광고 프로그램 자체는 삭제하여도 DNS 네임서버에 등록된 IP 주소를 이용하여 특정 웹 사이트 접속시 "Ads by DNSUnlocker" 광고창이 생성되는 문제를 경험할 수 있습니다.

 

[변경된 DNS 네임서버 레지스트리 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
 - NameServer = (IP 주소)

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}
 - NameServer = (IP 주소)

 

"Ads by DNSUnlocker" 광고가 생성되는 환경에서는 DNS 네임서버에 추가된 2종의 IP 주소가 포함되어 있는 경우 모두 삭제하시기 바라며, 추가적으로 사용하시는 각 웹 브라우저의 캐시, 쿠키 파일을 모두 삭제하시기 바랍니다.

 

특히 변경된 DNS 서버로 인한 초기화가 필요한 경우에는 명령 프롬프트를 관리자 권한으로 실행하여 ipconfig /flushdns 명령어를 통해 초기화 후 Windows 재부팅을 하시기 바랍니다.

 

[공통적으로 발견되는 악성 파일]

 

C:\ProgramData\{76167abe-0c75-da80-7616-67abe0c7eaf8}\hqghumeaylnlf.dat
C:\ProgramData\{76167abe-0c75-da80-7616-67abe0c7eaf8}\hqghumeaylnlf.exe

 - SHA-1 : aeb933bb82699430a354412d73d4397fe7b9a6f4
 - Hauri ViRobot : Adware.Agent.4878960[h]

 

참고로 해당 증상이 발생하는 PC에서 공통적으로 발견되는 "Super PC Tools Limited" 디지털 서명이 포함된 "C:\ProgramData\{GUID}\hqghumeaylnlf.exe" 악성 파일(※ 제품 이름 : Super Optimizer v3.2, 파일 설명 : Fix PC problems and optimize performance)은 예약 작업 영역에 Superclean 작업 스케줄러(C:\Windows\Tasks\Superclean.job) 값을 추가하여 Windows 로그온시 자신을 자동으로 실행되도록 구성되어 있으므로 관련값을 찾아 함께 삭제하시기 바랍니다.(※ 해당 악성 파일은 광고 프로그램 자동 설치 기능이 포함된 것이 아닌가 의심됩니다.)

 

만약 "Ads by DNSUnlocker" 광고로 인하여 문제가 해결되지 않는 경우에는 Malware Zero Kit (MZK) 도구를 이용한 검사 또는 Runscanner 프로그램을 이용하여 메일 문의를 주시면 도움을 드릴 수 있도록 하겠습니다.

728x90
반응형
  • 정말 감사합니다... 진짜 포맷해야되나 했는데 ㅠㅠㅠ 광고창 안떠요!! 정말 많이 알아갑니다

  • 미스터석 2016.03.26 16:46 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 혹시 실습떄문에 dns unlocker 가 필요한데 파일이나 자료 있으시면 보내주시면 감사드리겠습니다. landbison1@Naver.com

    • 죄송하지만 파일 공유는 하지 않고 있으며, 이 사례의 경우에는 파일없이 DNS 서버 주소만 변경한 방식으로 확인하였습니다.

      아마도 어떤 프로그램이 설치되면서 DNS 서버 주소를 변경한 후 프로그램은 삭제되어도 변경된 DNS 서버 주소로 광고 행위가 유지되는 방식으로 보입니다.

  • mzk돌리다가 82.163.143.176 주소가 뭔가 싶어서 검색했더니 역시 god새님ㄷㄷㄷㄷ 좋은정보 감사합니다 ^^