동생컴퓨터에 몇일전 부터 이상한일이 생겼다. 네이버, 구글과 같은 검색사이트에 광고, 여드름과 같이 특정 키워드를 입력하면 그에 따른 광고 사이트로 열려버린다. 여드름이라고 치면 여드름 관련 쇼핑몰이 뜨고 광고라고 하면 그 광고 사이트가 열려버린다. 분명 악성코드에 감염된거 같아. 액티브 액스를 모조리 삭제하였지만 같은 문제가 반복되었다. 무슨문제인지 통 몰라서 와이어샤크로 패킷을 캡처해보았다.
이것을 보면 처음 첫줄에 보면 네이버 검색을 요청하는 HTTP 프로토콜을 요청하였는데 중갅쯤에 파란색으로 마킹된곳을 보면 /Config/KeyString.asp 를 요청한것을 알 수 있다. 헤더를 분석하니 네이버와 전혀 무관한 딴곳이었다. 브라우저로 보면 아래와 같이 나온다.
아래는 HTTP 헤더와 컨텐츠이다. Microsoft URL Control이 에이전트로 나오는걸 보면 정상적인 요청은 아닐것이다.
통 못찾다가... MicroLab을 우연히 Program Files 폴더에서 찾았다. 뭐하는 프로그램인지 보다가 이게 중국산 짝퉁 바이러스로 광고를 띄운다는걸 알았다.
자세한 제거 방법은 : http://yjpsky.tistory.com/384 를 참고!!
요것을 없애고 나니 광고가 뜨지않는다!!
저 아이피(58.180.70.170)을 후이즈로 검색해보니 온세통신이 담당하는 대역이다. 메일로 요부분에 대한 내용을 보내봐야겠다.
