네이버, 다음 사이트가 열리지 않나요?

2013.11.13 14:22
저자 : Kurien

1. 네이버, 다음 사이트가 안나오시나요?


고모 댁에 컴퓨터가 2대 있습니다.

고모 댁에 갈 때마다 컴퓨터 점검해드리는데요.

오늘 아침에 고모가 전화를 하셔서 인터넷이 이상하다고 하시더라구요.


자주 이러셔서 어떤 증상인지 한번 알아봤습니다.


(1) 증상 확인


네이트온을 설치하고 원격제어를 통해서 확인해보니, 

네이트나 다른 사이트는 잘 들어가졌지만

네이버와 다음 사이트만 연결이 안되더라구요.




네이버, 다음, BinImage/Host, Backdoor/Win32.Farfli

네이버, 다음, BinImage/Host, Backdoor/Win32.Farfli



일단 네이버와 다음 사이트에 연결이 안된다는 증상을 확인 했습니다.


(2) 프로그램 추가/제거에서 애드웨어 확인


두번째로 프로그램 추가/제거에 들어가서 악성 프로그램이 있는지 한번 확인해 봅니다.

예를 들어서 adclean 이런 프로그램이라던지, 자신이 설치한적이 없던 프로그램이 있다면 의심을 해보세요.



위의 링크로 가시면 대충 어떤걸 남겨야 할지 아실겁니다.

비교해가면서 드라이버를 제외하고 의심가는건 지워버리시거나,

혹시 중요한 프로그램 같다 싶으시면 검색을 해보세요.


저의 경우엔 이상한 프로그램은 없네요.


(3) 다른 웹 브라우저를 켜보자.


저도 모든 증상을 접해본적은 없기 때문에 일단 인터넷 익스플로러만 그런건지 구글 크롬을 켜봤습니다.

이렇게 구글 크롬으로 켜본 이유는 익스플로러만 문제가 있다면 익스플로러만 새로 설치를 해주면 되지만,

다른 웹브라우저로 들어가도 연결이 되지 않는다면 브라우저 문제가 아닌 바이러스/악성코드일 확률이 높습니다.


구글 크롬을 켜도 인터넷이 되지 않아서 V3 Lite를 켰습니다.


먼저 최소 검사를 했더니 아무것도 나오질 않더라구요.

그래서 생각이 틀렸나? 싶었는데, 마침 실시간 검사가 꺼져있는게 보이더라구요.

바로 실시간 검사를 키고 다시 네이버를 들어가봤더니



네이버, 다음, BinImage/Host, Backdoor/Win32.Farfli



이런 창이 뜨네요.

몇번 네이버, 다음을 들어가봤더니 여러개가 나오네요;;;


네이버, 다음, BinImage/Host, Backdoor/Win32.Farfli


위 이미지에서 BinImage/Host는 공격 대상 Web 사이트 목록이 들어있는 파일 라고 합니다.

Backdoor/Win32.Farfli는 백도어 파일로 윈도우 시스템 파일인 svchost.exe 파일에 인젝션,

하위로 들어가서 우리 눈으로는 알 수가 없죠.


이렇게 백도어에 감염된 파일을 통해 들어온 것 같습니다.

BinImage/Host는 DDos 공격하는데 쓰인다고 하는데요.

아마도 고모의 컴퓨터로 네이버와 다음을 공격하는 중이여서 열리지 않았던것 같네요.

좀비 PC라고 하죠.


혹시라도 웹사이트가 열리지 않으시는분들은 조심하세요!

자신의 컴퓨터가 좀비PC가 되어있을지도 모릅니다!