본문 바로가기

벌새::Analysis

bookmark.html 파일을 이용한 30tab.com 사이트 자동 연결 방식 주의 (2017.12.12)

728x90
반응형

최근 메일을 통해 웹 브라우저를 실행할 경우 30tab.com 웹 사이트로 자동 연결되는 문제를 해결할 수 있는 방법을 문의해 온 것이 있어서 보내준 로그(Log) 파일을 확인해 보았습니다.

 

문의하신 사용자의 경우에는 설치된 프로그램이나 실행된 파일에서는 의심스러운 부분이 발견되지 않았는데, 다음과 같은 의심스러운 레지스트리 등록 정보가 추가되어 있는 것을 확인할 수 있습니다.

 

 

HKEY_USERS\S-1-5-21-<숫자>-<숫자>-<숫자>-1000\Software\Microsoft\Internet Explorer\Main
 - Start Page = file:///C:/Users/%UserName%/Desktop/bookmark.html

 

원래 "HKEY_USERS\S-1-5-21-<숫자>-<숫자>-<숫자>-1000\Software\Microsoft\Internet Explorer\Main" 또는 "HKEY_USERS\S-1-5-21-<숫자>-<숫자>-<숫자>-1001\Software\Microsoft\Internet Explorer\Main" 키에 포함된 "Start Page" 문자열에는 기본 웹 브라우저가 설정한 홈 페이지 주소가 등록되어 있습니다.

 

그런데 추정컨데 광고성 악성 프로그램이 설치되는 과정에서 해당 등록값을 바탕 화면에 생성한 bookmark.html 파일로 변경을 한 것으로 보입니다.

 

 

아마도 최초 "Start Page" 문자열 수정이 이루어진 후 Internet Explorer 웹 브라우저를 실행할 경우 위와 같이 bookmark.html 파일을 홈 페이지로 지정하는 행위를 확인할 수 있습니다.

 

 

반대로 Internet Explorer 웹 브라우저의 홈 페이지 주소는 여전히 사용자가 지정한 특정 주소로 연결되어 있으므로 bookmark.html의 존재에 대해 제대로 인지하지 못할 수 있습니다.

 

 

테스트를 위해 바탕 화면에 생성된 bookmark.html 파일 소스에 30tab.com으로 연결하도록 코드를 추가한 후 Internet Explorer 웹 브라우저를 실행해 보도록 하겠으며, 특히 bookmark.html 파일이 숨김(H) 속성인 경우 바탕 화면에서 표시되지 않기 때문에 더욱 원인 파악을 하기 어려울 수 있을꺼라 추정됩니다.

 

 

실행된 Internet Explorer 웹 브라우저는 사용자가 지정한 홈 페이지가 아닌 30tab.com으로 연결되는 것을 확인할 수 있습니다.

 

그러므로 악성 프로그램이 최초 추가한 홈 페이지 변경 방식은 악성 프로그램이 제거된 후에도 유효하게 동작하며, 이런 경우에는 bookmark.html 파일과 "Start Page" 문자열에 등록된 파일 경로를 사용자가 지정한 홈 페이지 주소로 변경해야합니다.

 

 

추가적으로 Internet Explorer 웹 브라우저가 아닌 Chrome, Firefox 웹 브라우저에서도 동일한 증상이 발생한다고 언급한 것으로 봐서는 설정(chrome://settings) 페이지의 "시작 그룹" 항목에서 "특정 페이지 또는 페이지 모음 열기" 옵션에 bookmark.html 파일을 등록하였을 가능성이 높으므로 설정 페이지 항목을 꼼꼼하게 체크하는 것도 중요합니다.

728x90
반응형