www.3929.cn 라는 중국사이트가 시작페이지로 고정된다는 문의가 다수 확인되고 있다.
잉카인터넷 전용백신으로 먼저 검사를 해보시고, 그래도 조치가 안되시면 아래 수동조치를 따라해 보세요.
http://www.nprotect.com/v6/data/index.php?mode=vs_down_list&page=&key=&keyfield=
현재 어떠한 과정을 통해서 악성코드가 사용자 컴퓨터로 유입되는지 정확하게 확인되지는 않았다.
[추가]
국내 일부 사이트가 해킹되어 악성 스크립트를 통해서유포되는 것이확인되었습니다.
http://viruslab.tistory.com/376
다만 일부 중국산 악성코드에 의해서 중국 사이트가 시작페이지로 설정되는 또 다른 악성코드가 설치되고 있는 것으로 보여진다.
일단 이 증상이 나타나는 PC는 아래와 같이 다양한 악성코드가 다량으로 감염되어 있을 가능성이 높기 때문에 최신 Anti-Virus (백신) 프로그램 이용하여 전체 검사를 진행하시는 것이 급선무입니다.
21일(금)요일 유포되는 사이트를 분석한 결과 엄청난 양의 중국산 악성코드를 설치하는 것이 확인되었습니다.
한번 감염되면 CPU 사용률이 급격히 증가하고 네트워크 트래픽이 과도하게 발생하여 컴퓨터 사용에 매우 불편함을 느끼실 수 있습니다.
- 1B090.exe
- 0015A.exe
- cpush.dll
- 90c56c4de1.dl
- eluodd.sys
- FE602.exe
- hf1109.dll
- hf1109.exe
- sslsocket.dll
- sysbar.exe
- vmdetdhc.exe
- webbrowser_2241.dll
- wmpobj.sys
- xxxz23.ini
- xxxz23.ini~
- iedws.exe
- 2.exe
- 3.exe
- 5.exe
- 기타
전체 검사 -> 감염파일 치료 후에 증상이 있으실 경우 아래와 내용을 참고해 보시길 바랍니다.
중국산 악성코드의 증상이고, 핸들(Injection)로 작동하는 dll 파일 하나와 드라이버 파일 등으로 설치된다.
파일크기는 각각 다음과 같고 변종에 따라 다를 수 있지만, 중국 시작페이지 증상이 나타나고 있다면 다음과 같은 형식의 파일을 찾아보고 해결하는데 참고하면 될 것 같다.
임의의 알파벳 파일명.sys : 28,608 바이트 또는 29,376 바이트 등등등 (드라이버 폴더 존재)
dll 파일은 System 에 Handle 로 Injection 되기 때문에 Close Handle 작업이 필요(Process Explorer 프로그램 이용)하며 Explorer.exe 등에 dll Injection 이 되어 있을 수 있다.
핸들 종료 후에는 다른 경로로 파일의 강제이동이 가능하므로, 핸들 종료 후에 바탕화면 등으로 해당 악성코드를 이동시킨다. (이 상태에서도 삭제는 안된다.)
아래 수동조치에서는 Delete 로 바로 삭제하는 과정을 보여주었지만 간혹 컴퓨터 초보자분들께서 정상 파일을 잘못 삭제할 수도 있으므로, 파일을 다른 곳으로 임시 이동해 놓는 것도 좋은 방법이다.
또한 어떤 dll 이 악성코드인지 파일명이 고정값이 아니기 때문에 Anti-Virus 제품으로 탐지하여야 하는 과정이 필요하지만, 자신이 사용하는 Anti-Virus 제품에서 진단이 되지 않을 수도 있으므로, 아래 내용을 참고한다.
현재 웹 상에 있는 사용자들의 문의글을 보면 대체적으로 대부분의 Anti-Virus 제품으로 정상적으로 시작페이지 고정 증상이 해결되지 않는 것으로 보여진다.
물론 dll, sys 악성코드를 제거 후에 레지스트리를 일부 수정하지 않으면 시작페이지 고정 현상은 지속되기 때문에 반드시 레지스트리 수정 작업이 필요하다.
아래 수동조치 해결방법을 참고하면서 자신의 컴퓨터에 존재하는 악성코드를 찾아보고 제거하여 보자.
먼저 Process Explorer 라는 프로그램을 이용해서 System32 폴더에 있는 dll 악성코드를 찾아본다.
1단계
Process Explorer 의 Show Lower Pane 을 선택한다.
[다운로드]
http://download.sysinternals.com/Files/ProcessExplorer.zip
2단계
System 부분을 선택한다.
3단계
View -> Lower Pane View -> Handles 부분을 선택하여 하위 메뉴에 핸들값이 보이도록 설정한다.
악성코드가 랜덤(Random)한 파일명으로 생성되기 때문에 수동으로 악성코드를 찾아내기 위한 방법으로 Handles 을 반드시 선택해야 한다.
DLLs 를 선택할 경우에는 시스템의 정상 파일목록이 보여지므로, [주의]절대로 DLLs 를 선택해서는 안된다.
일반 사용자의 경우 정상 시스템을 악성코드로 오인할 수 있으니 각별히 주의하고 반드시 Handles 를 선택해야 한다.
4단계
System 부분의 하위 메뉴에서 File Type 부분에서 다음 3가지를 확인한다.
[주의! 감염 컴퓨터마다 생성된 파일명이 다르다.]
- File C:\WINDOWS\system32\drivers\etc\hosts
- File C:\WINDOWS\system32\drivers\임의의 이름의 알파벳 조합 파일명.sys
- File C:\WINDOWS\system32\임의의 이름의 알파벳과 숫자 조합 파일명.dll
5단계
각각 확인된 3가지의 File Handle 값을 마우스 오른쪽 버튼으로 선택하고 Colse Handle 메뉴를 선택한다.
나중에 해당 파일을 찾아서 삭제해야 하는 과정이 있으므로, 종료하는 파일명을 따로 기록해 둔다.
6단계
Ice Sword 프로그램을 이용하여 Handle 을 종료했던 dll 파일을 찾는다.
[다운로드]
http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip
파일을 찾으면 마우스 오른쪽 메뉴를 이용하여 Delete 메뉴를 선택하고 해당 폴더에 찾아가서 삭제됨을 확인한다.
시스템(System32) 폴더에는 중요 파일이 많이 존재하므로, 반드시 악성코드로 확인된 파일만을 삭제하여야 하므로, 각별한 주의가 필요하다.
Windows XP 기준
C:\Windows\System32
7단계
Ice Sword 프로그램을 이용하여 Handle 을 종료했던 sys 파일을 찾는다.
파일을 찾으면 마우스 오른쪽 메뉴를 이용하여 Delete 메뉴를 선택하고 해당 폴더에 찾아가서 삭제됨을 확인한다.
드라이버(Drivers) 폴더에는 중요 파일이 많이 존재하므로, 반드시 악성코드로 확인된 파일만을 삭제하여야 하므로, 각별한 주의가 필요하다.
Windows XP 기준
C:\Windows\System32\Drivers
8단계
시작메뉴 -> 실행 -> regedit -> 확인 : 레지스트리 편집기를 실행한다.
다음 경로로 이동한다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Strart Page 이름의 값을 삭제한다.
9단계
Autoruns 프로그램을 이용하여 드라이버 파일로 등록된 레지스트리 값을 취소하거나 삭제한다.
[다운로드]
http://download.sysinternals.com/Files/Autoruns.zip
10단계
바탕화면에 있는 Internet Explorer 에서 마우스 오른쪽 버튼을 눌러 속성을 선택하고 자신이 원하는 시작페이지를 다른 곳으로 변경하고 저장한다.
11단계
C:\Documents and Settings\[사용자계정]\Application Data\Microsoft\Internet Explorer\Quick Launch경로에 추가된 폘땡 Internet Explorer 啞응포.lnk 파일을 삭제한다.
브라우저의 시작페이지가 변경된 것을 확인한다.
