본문 바로가기

벌새::Analysis

바탕화면에 파란(Paran) 사이트가 생성되는 악성코드


2일전부터 국내 인터넷 사용자의 컴퓨터 바탕화면에 위와 같이 일정 부분이 파란(Paran) 포털 사이트가 생성되거나 하얗게 변하는 현상이 발견되고 있는 것 같습니다.


이는 윈도우의 기본 기능 중의 하나인 바탕화면의 동기화 기능을 악용한 부분이 아닐까 추정됩니다.

현재 해당 악성코드를 진단하는 것은 확인되지 않았지만, 일부 감염자분의 로그를 확인해 본 결과 공통적으로 보이는 파일이 있기에 임시적인 해결책이 아닐까 작성해 봅니다.

먼저 컴퓨터를 안전모드로 부팅하여 윈도우에 진입을 하시기 바랍니다.

C:\WINDOWS\system32\zdkzlnkfa.exe
C:\WINDOWS\system32\ShockChange.dll

윈도우 시스템 폴더의 두 파일을 찾아서 삭제를 시도합니다.


삭제시에는 IE 웹 브라우저는 반드시 닫고 삭제를 시도하시기 바랍니다.

삭제를 하실 때에는 먼저 작업 관리자의 프로세서 중에서 zdkzlnkfa.exe 프로세서를 찾아서 종료를 하시기 바랍니다.



만약 파일이 삭제가 되지 않을 경우에는 위에서 소개한 Unlocker을 이용해 보시기 바랍니다.

파일을 삭제한 후에는 [시작 - 실행 - regedit]를 통해 레지스트리 편집기를 활성화 합니다.


[편집 - 찾기] 항목을 클릭하여 찾을 내용에 다음 값을 입력하고 하나씩 검색해 보시기 바랍니다.

[찾을 내용]

zdkzlnkfa.exe
ShockChange.dll
E4155431-8AB8-4B12-84B4-3AC86D27C4F4
CToolBar


위의 4개 검색어를 통해 검색된 항목은 해당 항목에 마우스 우클릭을 하여 삭제를 하시기 바랍니다.

모든 검색이 종료된 후에는 바탕화면에서 마우스 우클릭을 하여 [속성 - 바탕 화면 - 바탕 화면 사용자 지정 - 웹] 항목에 들어가서 위의 그림과 같이 [웹 페이지] 항목에 [현재 홈 페이지] 체크가 풀려 있는지 반드시 확인하시고 체크를 하지 않도록 하시기 바랍니다.

조만간 보안 업체에서 해당 문제를 파악하고 진단 업데이트를 배포하리라 생각됩니다.

해당 해결 방법은 실제 악성코드로 추정되는 파일을 직접 실행해 보지 않고 추정을 통해 작성한 것이므로 반드시 해당 문제를 해결할 수 있다고 장담할 수 없습니다.