본문 바로가기

IT/컴퓨터/PC

네이버 접속시 은행 금융기관 팝업 문제, 해결방법

완전 증상을 제거된 것을 확인했으며,
이것이 확실하다고 할 수 있는 것은 몇번의 실험과 확인으로
확신하게 되었다.

증상


마소 인터넷 익스플로러(IE)와 구글 크롬(Chrome)에서 같은 현상이 나타난다.
보이는 저 링크는 100% 낚시 사이트였다.
만약에 같은 현상을 겪게 되면 들어가보면 안다.
보안카드를 다때려 넣으라고 하고,
마치 검증된 페이지인냥 유명한 은행이나 기관 명을 다 긁어다가 
링크를 잔뜩 붙여놨다.

TV나 보안뉴스에서나 보던 것을 눈앞에서 보고,
이 일을 겪은 분의 모습을 보니, 
정말 아무생각없이 입력할 수 도 있겠구나 하는 생각이 들었다.
좀더 많은 사람이 이 일을 해결할 수 있도록 
점검 과정과 나름의 해결법에 대해 더 적겠다.

점검과정

우선 이 팝업은 브라우저 내에서 생긴 <div>태그이다.
외부 프로그램에서 불러진 소스에 주입을 하는 방식인 것 같다고 의심을 했다. 
결과물만 보고 추측하는 수준밖에 학습 수준이 안되기때문에 이 이상 파지 않기로 하고 확인만 했다.

네이버 페이지 파일이 변질된 모습

네이버 페이지의 정상 접근시 모습


어디서 어떤 프로그램이 이딴 짓을 했는지 추측해본다.
작업 관리자에는 의심될만한게 없다.
아 'OnOffPop'인가 이게 요즘 심심치 않게 이컴퓨터 저컴퓨터깔려있길래,
[프로세스탭]에서 '파일 위치 열기'로 진입해서 언인스톨 해버렸다. 
컴퓨터 관심없는 사람들 컴퓨터에는 다 있는 것 같다.

네이버 페이지에 대한 변질 이뤄진 상태에서의 소스들


네이버 페이지의 정상적인 접근시의 상태


위에는 소스 목록이다 뭔가 이름만 봐도 노골적이다 ㅎ
정상 접근시와 외적으로 변질된 상태에서의 파일 구조가 상당히 다르다
이화면은 크롬에서 웹디버거에서 Source에서 확인한 내용이다.

해결방법

이제 마무리를 지어보자.
당장 작업관리자에 상주중인 것중에 찾아도 좋겠지만,
우선은 이 녀석은 분명히 시작 프로그램에서 실행되어서,
사용자가 브라우저를 쓸때마다 저딴 것을 주입하는 것이라고 판단해서,
난 안좋아하지만 이 컴퓨터에 깔려있는 알약으로 시작프로그램 관리
화면에 진입했다.


이 vetel이라는 녀석이 상당히 의심스럽다.
왜냐?
첫번째는 하단에 있는 명령이라는 곳에 있는 경로가
완전 듣보잡 경로이며, 뭔가 사짜느낌이 진동을 한다.


두번째는 해당 경로에 가면 폴더가 없다.
숨겨놓은 것이다. 열고 들어가보면 진짜 별게 없다. dll하고 폴더하고 이런 것들이다.

이외에 다른 녀석들은 이미


친분이 있기때문에 조사하지 않았다.
이제 정말 이놈인지 확인해보자

알약이나 백신프로그램의 시작프로그램 관리 화면에서 이런 의심가는 
프로그램을 선택하고 시작을 안하도록 설정하거나 삭제하자.
(이과정은 아마도 레지스트리 및 파일을 백업했다가 시작함으로 바꾸면 복구하는 것이지 않을까 싶다)


만약에 잘못되어도 왠만한 백신들에서는 작업 복구 기능이 있다.
알약이 있으면 다른 프로그램들은 진작부터 있었으리라 단언한다.

아무튼 이렇게 시작을 못하게 하거나 삭제시키고 나서 재부팅하면?
만약 해당프로그램이 낚시의 원인이 었다면,
사용자를 화나게 하던 현상이 사라졌을 것이다.
아니라면? 다른 프로그램들도 의심을 해봐야되는 것이다.
이걸 반복해보면서 현상을 확인하자

나는 이 방법으로 스샷찍은 컴퓨터의 네이버를 살려냈다.