악성코드가 때문에...ㅠ.ㅠ

컴퓨터 사용 중 갑자기 광고 팝 업 창이 뜨거나 인터넷 익스플로어 실행 시 홈페이지가 성인 사이트나 자신이 선택하지 않은 웹 사이트로 고정되고 홈페이지를 변경해도 다시 변경되는 문의가 많이 들어오고 있습니다.

이런 증상은 웜이나 바이러스 등과 같은 악성 코드가 홈페이지를 변경하는 경우도 있지만 흔히 스파이웨어(Spyware)로 알려진 애드웨어(Adware)로 발생하는 문제입니다.

애드웨어란 제한 없이 무료로 사용되는 프리웨어(freeware), 일정한 금액으로 제품을 사야 하는 셰어웨어(shareware) 같이 광고를 보면 사용할 수 있는 프로그램을 뜻합니다, 그리고 광고를 보여주는 프로그램이라는 의미로도 사용됩니다.

백신 업체는 현재까지 애드웨어를 바이러스, 웜, 트로이목마와 같은 악성 코드로 분류할지에 대해 여전히 논의 중입니다. 몇몇 백신 프로그램에서 사용자가 선택할 경우 애드웨어 등을 진단하는 정책을 답변확정하고 있지만 특정 업체에서만 시행하고 있습니다.

애드웨어는 크게 두 가지 측면에서 트로이목마로 분류하기 어렵습니다.

1. 사용자 동의를 얻어 설치되는 프로그램을 임의로 진단할 수 있는가?
2. 홈페이지를 바꾸고 광고를 출력하는 것이 악의적인 일로 볼 수 있는가?

물론 이들 애드웨어가 사용자 동의 없이 설치되거나 개인 정보를 빼가는 행위가 증명되면 이들은 트로이목마로 분류되어 백신에서 진단/치료(삭제)됩니다.

위 두 가지 문제로 현재까지 애드웨어는 백신에서 기본으로 진단하지 않으며 일부 백신에서 선택적으로 진단하며 사용자가 수동 삭제하거나 전용 진단 프로그램을 사용해야 합니다.

최신 엔진으로 바이러스가 진단되지 않지만, 인터넷 익스플로러의 시작홈페이지 주소를 변경한 후에도 특정 사이트가 지속적으로 연결되거나, 특정 사이트 오픈 시 여러 개의 웹 브라우저의 창이 동시에 오픈 되는 경우에는 다음의 사항을 확인하시기 바랍니다.

1. 애드웨어 제거

1) 최신 엔진으로 업데이트 된 V3제품으로 검사하여 바이러스, 웜, 트로이목마와 같은 악성 코드가 있는지 확인한다. 수동 검사의 ‘검사 파일 형식’은 반드시 "모든 파일"로 설정합니다. V3에서 진단되는 파일이 있다면 치료(삭제) 합니다.

2) [시작]-[설정]-[프로그램 추가/제거]에서 시스템과 관련이 없고 본인이 설치한 적이 없는 프로그램이 설치되어 있는지 살펴보신 후 삭제합니다.

3) 임시 인터넷 파일을 모두 제거한다. 제거방법은 [인터넷 익스플로러 실행]-[도구]-[인터넷 옵션]-[임시 인터넷 파일]에서 "파일 삭제", "쿠키 삭제"를 선택하고 삭제하면 됩니다. "쿠키 삭제" 버튼이 바로 보이지 않으신다면 [임시 인터넷 파일]-[설정]-[파일보기]에서 열린 탐색기 창 내의 모든 파일을 제거해 하면 됩니다.

4) 윈도우(일반적으로 C:\Windows나 C:\WinNT)의 ‘Downloaded Program Files’ 폴더에서 불필요하게 설치된 프로그램을 찾아 삭제합니다. 프로그램 파일’에서 오른쪽 마우스 버튼을 눌러 [속성(R)]을 선택하면 “코드베이스” 항목에 프로그램 설치 위치를 알 수 있습니다. 출처를 정확히 알지 못할 경우 오른쪽 마우스 버튼을 눌러 ‘제거(R)’을 통해 삭제합니다.

5) 실행 중인 프로세스에서 불필요한 프로그램이 존재한다면 종료하고 해당 파일을 삭제합니다. 윈도우 부팅 시 자동으로 시작하게 등록할 수 있는 레지스트리인 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\run 등에서 등록된 항목들을 살펴보면 특정 파일이 심어져 있는 것을 확인할 수 있습니다. 윈도우 2000이라면 [Ctrl]+[Atl]+[Del]키를 누른 후 관련 프로세스를 종료시키고 해당 파일을 지우면 됩니다.

6) 보안 취약점을 존재해 감염되는 경우도 있으므로 윈도우 업데이트를 통해 자동으로 감염되는 것을 예방 할 수 있습니다. [시작]-[Windows Update]나 [인터넷 익스플로러 실행]-[도구]-[Windows Update]-[업데이트 검색]-[업데이트 검토 및 설치]를 통해 보안 패치를 적용합니다.

2. 추가 조치 방법

애드웨어를 삭제해도 애드웨어에서 설정을 변경한 경우도 존재합니다. 이때 다음 레지스트리의 내용을 자신에 맞게 수정하는 게 좋습니다.

(1) 웹 브라우저 홈페이지 변경

1) [시작]-[실행]을 선택한 후 "regedit" 입력하고 확인을 누른다.
2) HKEY_CURRENT_USER\Software\Microsoft\Internet explorer\Main\Start page ="등록되어 있는 값 삭제 후 원하는 값으로 설정"

(2) 애드웨어에서 자주 변경하는 레지스트리 값

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]에서 "Start Page"= , "Search Page"=, "Search Bar"= ,"Start Page"=
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]에서 "Start Page"= , "Search Page"= , "Search Bar"= ,"Default_Page_URL"=
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]에서 "SearchURL"=
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]에서 "CustomizeSearch"= , "SearchAssistant"=
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer]에서 "SearchURL"=
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]에서 "CustomizeSearch"= , "SearchAssistant"=

(3) Browser Helper Objects

1) Browser Helper Objects 확인

많은 애드웨어가 인터넷 익스플로어의 ‘Browser Helper Objects’ 기능을 이용합니다. 따라서, 레지스트리 에디터(regedit.exe)를 실행 해 ‘HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects’에 등록된 CLSID 값을 확인합니다.

2) CLSID 내용 확인

HKEY_CLASSES_ROOT\CLSID\{CLSID 값}의 “InprocServer32”키 값을 통해 해당 기능을 사용하는 파일 이름을 알 수 있습니다.

3) 불필요한 CLSID 삭제

CLSID를 반복해서 찾아 해당 CLSID 값을 사용하는 프로그램이 불필요한 파일이라면 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects’에 등록된 CLSID 값을 삭제하면 됩니다.