기본 콘텐츠로 건너뛰기

DNS 네임서버 변경을 통한 "Ads by DNSUnlocker" 해외 광고 주의



● 최초 작성 : 2016년 1월 23일 ● 1차 수정 : 2016년 1월 28일 - 추가적인 정보 수집을 통한 내용 수정
 
최근 블로그에서 안내하는 Runscanner 프로그램을 통한 악성 프로그램 문의를 받던 중 DNS 네임서버 주소를 변경하여 웹 브라우저 사용시 "Ads by DNSUnlocker" 광고창을 생성하는 행위가 발생하는 부분을 확인하였습니다.
Trojan.DNSChanger 악성코드를 통한 DNS 네임서버 주소 변경을 시도하는 감염 방식에 대한 정보는 이미 공개된 상태이므로 참고하시기 바라며, 이 글에서는 국내 인터넷 사용자 중에서 DNSChanger 악성코드 감염으로 변경된 대표적인 사례를 살펴보도록 하겠습니다.
  • 82.163.142.3 / 95.211.158.130
  • 82.163.142.4 / 95.211.158.131
  • 82.163.142.6 / 95.211.158.133
  • 199.203.131.145 / 82.163.143.167
메일을 통해 수집된 로그(Log)를 확인해보면 DNS 네임서버가 다양한 악성 IP 서버로 변경되어 있는 부분을 확인할 수 있습니다.
변경된 DNS 네임서버 주소의 영향으로 인터넷 접속시 이스라엘(Israel)에 위치한 "199.203.131.145 (mallgw.polyram-group.com)" 서버로 통신이 이루어지는 것을 알 수 있습니다.
이후 웹 브라우저를 실행하여 인터넷 접속 과정에서 "m51.dnsqa.me/QualityCheck/gg.js" 스크립트 파일을 체크하여 광고 동작 여부를 결정할 수 있습니다.
만약 유효한 인터넷 검색 및 웹 사이트 접속이 이루어질 경우에는 "m51.dnsqa.me/QualityCheck/ga.js" 스크립트을 체크하는 부분을 확인할 수 있습니다.
이를 통해 스크립트에 등록된 다양한 광고 구성값 정보를 기반으로 "Ads by DNSUnlocker" 광고를 비롯한 다양한 형태의 광고가 노출되는 것을 다음과 같이 확인할 수 있습니다.
특히 변경된 네트워크 환경에서는 악성 광고 프로그램 자체는 삭제하여도 DNS 네임서버에 등록된 IP 주소를 이용하여 특정 웹 사이트 접속시 "Ads by DNSUnlocker" 광고창이 생성되는 문제를 경험할 수 있습니다.
[변경된 DNS 네임서버 레지스트리 정보]  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
 - NameServer = (IP 주소)
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}
 - NameServer = (IP 주소)

"Ads by DNSUnlocker" 광고가 생성되는 환경에서는 DNS 네임서버에 추가된 2종의 IP 주소가 포함되어 있는 경우 모두 삭제하시기 바라며, 추가적으로 사용하시는 각 웹 브라우저의 캐시, 쿠키 파일을 모두 삭제하시기 바랍니다.

특히 변경된 DNS 서버로 인한 초기화가 필요한 경우에는 명령 프롬프트를 관리자 권한으로 실행하여 ipconfig /flushdns 명령어를 통해 초기화 후 Windows 재부팅을 하시기 바랍니다.

[공통적으로 발견되는 악성 파일]  
C:\ProgramData\{76167abe-0c75-da80-7616-67abe0c7eaf8}\hqghumeaylnlf.dat
C:\ProgramData\{76167abe-0c75-da80-7616-67abe0c7eaf8}\hqghumeaylnlf.exe
 - SHA-1 : aeb933bb82699430a354412d73d4397fe7b9a6f4
 - Hauri ViRobot : Adware.Agent.4878960[h]
 
참고로 해당 증상이 발생하는 PC에서 공통적으로 발견되는 "Super PC Tools Limited" 디지털 서명이 포함된 "C:\ProgramData\{GUID}\hqghumeaylnlf.exe" 악성 파일(※ 제품 이름 : Super Optimizer v3.2, 파일 설명 : Fix PC problems and optimize performance)은 예약 작업 영역에 Superclean 작업 스케줄러(C:\Windows\Tasks\Superclean.job) 값을 추가하여 Windows 로그온시 자신을 자동으로 실행되도록 구성되어 있으므로 관련값을 찾아 함께 삭제하시기 바랍니다.(※ 해당 악성 파일은 광고 프로그램 자동 설치 기능이 포함된 것이 아닌가 의심됩니다.)

만약 "Ads by DNSUnlocker" 광고로 인하여 문제가 해결되지 않는 경우에는 Malware Zero Kit (MZK) 도구를 이용한 검사 또는 Runscanner 프로그램을 이용하여 메일 문의를 주시면 도움을 드릴 수 있도록 하겠습니다.
라벨:

댓글

댓글 쓰기

이 블로그의 인기 게시물

win10 블루스크린 코드별 해결 방법들( 양이 너무 많네요 ㅠㅜ)

  컴퓨터를 사용 하면서 많은 경험을 하는데 늘 win와 함께하는 오류가 있습니다. 그것은 바로 다름 아닌 컴퓨터 사용자들에게 안정감을 주려고 블루 색상을 사용 해서 만든건지는 모르겠지만 마음에 평화보다는 불안감이 나타나는 화면 입니다. 컴퓨터를 재부팅을 하거나 아니면 안돌아오면 마지막 방법으로 포맷을 하게되는데 이 오류가 이렇게 많다는 거에 대해서 놀라움입니다. 일상에서 이렇게 많은 오류를 보기는 힘들지만 무슨 작업을 하든 만나게 되는 win와 뗄래야 뗄 수 없는 사이 실과 바늘 관계랄까. 블루스크린 입니다. 많기는 많네요 이거 만드는데도 엄청 걸렸겠는데요 찾기 단축키[Ctrl+F] 로 사용해서 찾아보세요 순서 블루스크린코드 내용 (클릭시 해결방법을 볼 수 있습니다.) 1 0x00000001 APC_INDEX_MISMATCH 2 0x00000002 DEVICE_QUEUE_NOT_BUSY 3 0x00000003 INVALID_AFFINITY_SET 4 0x00000004 INVALID_DATA_ACCESS_TRAP 5 0x00000005 INVALID_PROCESS_ATTACH_ATTEMPT 6 0x00000006 INVALID_PROCESS_DETACH_ATTEMPT 7 0x00000007 INVALID_SOFTWARE_INTERRUPT 8 0x00000008 IRQL_NOT_DISPATCH_LEVEL 9 0x00000009 IRQL_NOT_GREATER_OR_EQUAL 10 0x0000000A IRQL_NOT_LESS_OR_EQUAL 11 0x0000000B NO_EXCEPTION_HANDLING_SUPPORT 12 0x0000000C MAXIMUM_WAIT_OBJECTS_EXCEEDED 13 0x0000000D MUTEX_LEVEL_NUMBER_VIOLATION 14 0x0000000E NO_USER_MODE_CONTEXT 15 0x0000000F SPIN_LOCK_ALREADY_OWNED 16 0x00000010 SPIN_LOC...
댓글 쓰기
자세한 내용 보기

함수내 $.ajax 리턴값 받기

ajax동기 통신 방식으로 결과값을 받는 소스입니다. ajax를 쓰면 리턴값을 가져올 수 없기 때문에 동기방식( send 해서 답이 돌아올 때까지 기다렸다가 실행 )으로 변수에 값을 할당해서 값을 받아옵니다. function callData(no){     var m = 30;     $.ajax({         url: "b.php",         type: "POST",         async: false, // ture: 비동기, false: 동기         data: {"xdata": no},         dataType: "json",         success: function(data){             m = data.ydata;         }     });     return m; } 해당함수호출 var y = callData(x); 참고 : http://stackoverflow.com/questions/5316697/jquery-return-data-after-ajax-call-success [출처] 함수내 $.ajax 리턴값 받기 | 작성자 제로
댓글 쓰기
자세한 내용 보기

스마트금융과(핀테크)

                                        □ 학과소개        모바일을 이용한 간편결제 확산, 가상화폐인 비트코인(Bitcoin)의 등장, 로보어드바이저(Robo-Advisor) 등      이미 현실에서는 핀테크가 일상 생활에 속속 들어오고 있습니다.      전 세계적으로 핀테크 산업에 대한 투자 규모가 증가하고 있으며, 이에 따라 국내 금융회사와 IT기업들은      다양한 핀테크 기술을 개발하고 있습니다. 블록체인 활용, 금융권 빅데이터 활성화, 금융권 공동 플랫폼 등        4차 산업혁명 대비 핀테크 기술 관련 현장에서 필요한 IT 기술인력을 양성하고 취업연계를 지원합니다.             □  협력/자문/취업처           □  활용 솔루션      □  수료생 후기                          ...
댓글 쓰기
자세한 내용 보기