● 최초 작성 : 2016년 1월 23일 ● 1차 수정 : 2016년 1월 28일 - 추가적인 정보 수집을 통한 내용 수정 최근 블로그에서 안내하는 Runscanner 프로그램을 통한 악성 프로그램 문의 를 받던 중 DNS 네임서버 주소를 변경하여 웹 브라우저 사용시 "Ads by DNSUnlocker" 광고창을 생성하는 행위가 발생하는 부분을 확인하였습니다. <Malwarebytes Unpacked 블로그> Trojan.DNSChanger circumvents Powershell restrictions (2016.1.22) Trojan.DNSChanger 악성코드를 통한 DNS 네임서버 주소 변경을 시도하는 감염 방식에 대한 정보는 이미 공개된 상태이므로 참고하시기 바라며, 이 글에서는 국내 인터넷 사용자 중에서 DNSChanger 악성코드 감염으로 변경된 대표적인 사례를 살펴보도록 하겠습니다. 82.163.142.3 / 95.211.158.130 82.163.142.4 / 95.211.158.131 82.163.142.6 / 95.211.158.133 199.203.131.145 / 82.163.143.167 메일을 통해 수집된 로그(Log)를 확인해보면 DNS 네임서버가 다양한 악성 IP 서버로 변 경되어 있는 부분을 확인할 수 있습니다. 변경된 DNS 네임서버 주소의 영향으로 인터넷 접속시 이스라엘(Israel)에 위치한 "199.203.131.145 (mallgw.polyram-group.com)" 서버로 통신이 이루어지는 것을 알 수 있습니다. 이후 웹 브라우저를 실행하여 인터넷 접속 과정에서 "m51.dnsqa.me/QualityCheck/gg.js" 스크립트 파일을 체크하여 광고 동작 여부를 결정할 수 있습니다. 만약 유효한 인터넷 검색 및 웹 사이트 접속이 이루어질 경우에는 "m51.dnsqa.me/Q...