웹 페이지 변조 악성 코드에 의한 페이지 변조 진단 조치

어제 보안 프로그램 하나 테스팅 한다고 중국 사이트에서 프로그램 하나 받았다가 고생 했네요.
해당 프로그램 설치 후 시스템에 각종 악성 코드들이 강제 설치되었습니다.
c:\windows\system32 에 각종 악성 프로그램이 설치되고 자동적으로 시작 프로그램에 등록이 되더군요.
하도 요즘은 이런 증상이 많아서 뭐 대단한 이슈도 아니겠죠.
해당 시스템은 네이버의 PC 그린 , 알약 , 야후 무료 백신, 하우리 등으로 진단해도 복구가 안되더군요
사실 다른 백신으로도 진단해 보고 싶긴 했는데, 아쉽게도 OS가 윈도우 2003 서버인 관계로  무료 백신이 설치가 안되서 못해 본점은 아쉽네요.
알약과 네이버 PC 그린등은 편법을 동원해 설치를 했습니다만.....^^;
각 제품으로 다 진단한 뒤에도 여전히 홈페이지가 변조된 후 복구 되지 않았습니다.
심지어는 홈페이지 고정 유틸(파워크리너 2.0)등의 제품이 있음에도 불구하고 강제로 변경되어 버렸는데, 진단에서는 Clean 으로 나오기 때문입니다.
과거에도 한번 유사한 경험을 한적이 있는데, 이번에도 동일한 경우더군요.
즉, 인터넷 IE의 바로가기를 수정하는 형태의 공격을 수행하고 있었습니다.

아래 그림은 정상적인 바로가기 입니다.

정상

대상 : "C:\Program Files\Internet Explorer\iexplore.exe"
시작위치 : %HOMEDRIVE%%HOMEPATH%


자, 홈페이지가 위변조된 바로가기 입니다.

페이지 변조

대상 : "C:\Program Files\Internet Explorer\iexplore.exe" www.3929.cn/?q
시작위치 : %HOMEDRIVE%%HOMEPATH%


이런 형식으로 변조된 경우는 시작페이지를 아무리 변경해도 재부팅 후에도 페이지가 변경도 안되고, 계속 악성프로그램이 지정한 사이트로 가게 되는 것입니다.
카스퍼스키, 빗디펜더,닥터웹 등의 각종 유명 백신엔진으로도 진단이 되지 않는다는 것입니다.

통상 홈페이지 기본 웹 페이지 변조 공격은 레지스트리 변조 ,  hosts 파일의 변조로 이루어지며, 웬간한 경우는 악성코드 제거 도구나 백신에 의해서 복구가 되었습니다만, 위와 같은 경우는 진단이 안되었습니다.

혹, 페이지가 변경되어진 후 원하는 홈페이지로 지정이 불가능한 분들은 위의 정보도 팁으로 알아두시면 도움이 될 것같습니다.

ps. 해당 중국 사이트에 방문하시면 바로 악성 즐겨찾기가 생성되니, 접근하지 마시기 바랍니다.

http://cafe.naver.com/solatech
http://solatech.tistory.com
by 김재벌