웹 브라우저 하이재킹 (browser hijacking) 광고 툴바 - browser hijacker: Conduit Search, Babylon Toolbar, SearchMe, CoolWebSearch, CouponDropDown, CloudScout

웹 브라우저 하이재킹 현상은 홈 페이지나 기타 설정이 어느새 변경되었거나 언제부터인가
갑자기 광고창이 화면에 뜨거나 화면에 교묘하게 광고가 보이기 시작하거나 원하지 않은
웹 페이지로 자동 연결되는 것 등이다.

광고로 수입을 올릴 목적으로 배포되는 이런 browser hijacker 들은 많은데 해외는
예를 들어 Conduit Search, Babylon Toolbar, CoolWebSearch, SearchMe,
CouponDropDown, CloudScout 등을 자주 볼 수 있다.

- Conduit Search
- Babylon Toolbar
- CloudScout
- CoolWebSearch
- SearchMe (참고: 악성코드급 사파리 확장 프로그램 'SearchMe' 사파리에서 링크를 클릭했는데 'Top Sites'가 뜬다면)
- CouponDropDown (* 자세한 정보 참고)


그외에도 웹 브라우저(IE, Firefox, Chrome)의 무료 확장기능들( third-party extension) 중 처음부터 광고/스파이 기능을 숨긴 확장기능을 배포하거나 이미 대중적인 유용했던 무료 확장기능이 어느 순간(특정 버전부터)부터 광고와 사용자의 브라우저 사용행태를 감시하는 코드(ad-spamming code)를 첨가하기도 한다. 파이어폭스 애드온 중에는 유명했던 QuickDrag 같은 게 그렇다.

파이어폭스(Firefox)나 크롬(Chrome)의 경우 대다수 사용자가 편한 웹서핑을 위해 자신에게 필요한
확장기능들을 2~3개 정도는 사용하기에 자신이 설치하는 확장기능이 무언지 설치전에 파악하고
있어야 한다.

광고를 위해 사용자의 데이터를 판매하는 목적이란 건 결국 실질적인 이득을 보기에 수법들은 점점
교묘해지고 사용자의 동의를 사용자 자신도 알지 못하게 유도하는 방식이라 사용자 스스로의 주의가
필요하다.

Conduit Search 를 예로 들면 무료 소프트웨어 설치시 사용자 동의를 얻어 툴바(toolbar)와 함께
합법적으로 설치한다. 특히 토렌트 클라이언트로 유명한 Utorrent의 경우는 설치시에 툴바 설치를 물어본다. 영어에 약하거나 그냥 설치시 다음단계에 넘어가는 게 익숙한 사용자는 부주의하게 동의하에 설치 할 수 있다. 설치시 주의를 기울이면 이런 툴바나 홈페이지 변경은 안 할 수 있다. 소프트웨어 설치 과정에서 체크 표시를 해제 하면 된다.

[툴바 설치나 홈 페이지 설정 변경을 할 수 있기에 프로그램 설치시 주의해야 한다]

크롬(Chrome) 웹 브라우저의 경우 이런 하이재킹 문제가 심각해지자 크롬자체에서 웹 브라우저의
설정이 외부 프로그램에 의해 변경시 자동으로 사용자에게 알려주게 변경되었다. 기존에 웹브라우저
설정을 초기화하는 설정 메뉴에 있었지만 좀 더 능동적으로 사용자가 선택 할 수 있게 했다.
* Firefox 도 역시 설정을 초기화 할 수 있다.

설정을 초기화하면 말 그대로 초기화 된다. 기존에 설정했던 홈 페이지(homepage), 새탭(new tab page), 검색 페이지(search page) 그리고 모든 확장기능(all extensions) 이 기능을 중단하고 웹 브라우저에 저장되었던 데이터를 삭제한다 그런데 문제는 웹 브라우저를 초기화한다고 설치 된 악성코드가 완전히 제거 되지 않는 경우가 꽤 많다는 점이다.

1. 웹브라우저(크롬, 파이어폭스, IE, 사파리)의 확장기능 체크

Chrome (크롬): Settings icon -> Tools -> Extensions

Firefox (파이어폭스): Tools -> Add-ons. (단축키: Ctrl+Shift+A)

MS IE (인터넷 익스플로러):
Tools -> Manage add-ons -> Toolbars and Extensions tabs

Safari(사파리)의 경우 : Preferences -> Extensions(확장 프로그램)

웹브라우저(크롬, 파이어폭스, IE, 사파리)의 확장기능 중 자신이 잘 모르는 확장기능이나
신뢰할 수 없는 듯하다면 사용을 중지하고 삭제하기를 권유.

* 웹브라우저 확장기능을 많이 사용한다면 목록(영문)을 한 번 체크해 보는 게 좋다.
- Your Browser Extensions Are Spying On You

2. 웹브라우저 초기화 (Reset) 방법

MS IE (인터넷 익스플로러): Internet Options -> Advanced tab -> Reset

Chrome (크롬) : Settings -> Show advanced settings -> Reset browser settings

Firefox (파이어폭스) : Firefox menu button -> Help button ->Troubleshooting Information -> Reset Firefox

3. 전용 제거툴을 사용 (for Windows)

악성 광고, 툴바, PUA 설치 때문에 PC 사용에 문제가 많다면 먼저 윈도우 Control Panel -> Uninstall a program 에 가서 최근에 설치한 프로그램들을 날짜순으로 정렬(Installed On 클릭)해서 최근에 설치한 프로그램을 확인하고 의심가는 프로그램을 언인스톨 한다 그리고 웹 브라우저 확장기능 체크/제거 후 무료로 검사/치료기능을 제공하는 AdwCleaner, Malwarebytes Anti-Malware Free, HitMan Pro 를 순차적으로 사용해서 검사하면 대부분의 경우 치료가 가능하다. 해외에서는 요즘 나오는 악성부가기능, 악성코드 치료에 가장 많이 사용되는 도구들이기도 하다. 특히 한국 내 악성코드라면 MZK 스크립 도구를 가장 먼저 사용해보는 것도 좋다.


Malware Zero Kit (MZK) 보조 악성코드 제거 스크립 도구 다운로드 - 배포 파일(MZK.ZIP)은 자동업데이트 기능이 있는 소프트웨어가 아닌 스크립 도구이기에 사용 할 때마다 재다운로드하여 가장 최근의 데이터베이스를 사용하는 최신 파일로 검사해야 합니다. 주로 '한국'을 타켓으로 하는 루트킷, 금융 악성코드, 악성 광고 소프트웨어에 특화 된 스크립 도구이기에 한국 웹사이트를 자주 방문하거나 한국내 사용자에게는 상당히 유용. * 자세한 설명: 보조 악성코드 제거 스크립 도구 : Malware Zero Kit (MZK)

AdwCleaner - Adware(악성광고), Toolbars(툴바 ex: Ask toolbar, CoolWebSearch, Babylon Toolbar), PUP (Potentially Undesirable Program, Hijacker (Hijack of the browser's homepage) 등을 제거 해주는 툴(Windows 전용).

* Avira AntiVir 안티바이러스 제품은 Antivir Webguard 는 Ask Toolbar 를 사용하고 있다 (개인적으로 Ask toolbar 같은 곳과 계약한 보안업체를 그리 좋게 보지 않는다)  Adwcleaner 는 Ask toolbar도 탐지해 제거하기 때문에 검사/치료 후 Antivir Webguard 가 정상적으로 동작하지 않을 수 있다. 이런 문제를 방지하고 싶다면 AdwCleaner의 options 에서 DisableAskDetections 을 체크하고 검사하면 된다. 당연한 이야기지만 Ask toolbar 같은 건 설치하지 않는 게 좋다.


Malwarebytes Anti-Malware *Free (Free version download 선택)
malware 제거툴. 한글을 지원하기 때문에 설치시 한글을 선택하면 모든 메뉴를 한글로 사용할 수 있어 편리합니다. 무료(Free) 버전은 실시간 감시 기능이 없기에 백신과 충돌 위험이 없습니다. 수동 검색 성능과 치료는 유료와 동일합니다.

* 설치 후 처음 실행하면 일정기간 동안만 전체 기능을 사용하는 평가판(Trial)으로 사용할지 물어보는데 평가판(Trial)으로 사용 할 필요 없습니다. 평가판 사용을 선택하지 말고 그냥 무료버전으로 사용하세요. 위 그림은 영문버전 설치과정인데 반드시 Decline을 선택해야 무료버전인 on-demand scanner로서 사용가능 합니다. (무료버전도 검색과 치료 모두 가능) *[추가] 버전 1.62의 경우 이전 버전과 좀 다르더군요. 설치시 구글 툴바와 마지막에 Malwarebytes Anti-Malware Pro 시험판(기간제한이 생김) 사용여부에 체크를 하지 말아야 합니다.


HitMan Pro - 30일간 무료로 사용 할 수 있습니다. 진단과 치료 모두 가능. Second Opinion Malware Scanner 라는 문구처럼 이 프로그램은 전용백신, 보안프로그램 (예: 노턴, 카스퍼스키등)과 함께 설치해서 사용해도 충돌의 위험이 없습니다. 용도 자체가 범용적인 백신의 기능보다 이런 부분에 특화되어져 있다고 생각하면 됩니다. TDL4 / TDL3 / TDSS-family rootkits등 여러 악성 rootkits 탐지/제거에 자주 언급 될 정도로 평이 좋죠. * 악성 코드 프로그램은 백신을 실행하지 못하게하기 때문에 감염 된 PC의 경우 Hitman Pro에서 Force Breach Mode를 사용하면 실행이 가능한 경우도 있습니다. 사용법은 Hitman Pro를 실행할 때 왼쪽 Ctrl-key 를 누르고 있으면 됩니다.


3. 안티바이러스 제품 사용

예방이 최선이다. 언급했듯이 무료 소프트웨어 설치시 같이 설치되는 프로그램에 대해 주의를 하고
잘 모르는 웹 브라우저 부가기능은 설치를 안 하거나 신뢰할 수 있는 경로로 설치하고 원하는 부가기능에 대한 다른 사용자의 리뷰를 읽어보는 게 선택시 도움이 된다. 어떤 보안 제품의 사용보다 사용자의
지식과 의식 그리고 습관이 가장 중요하다.

두 번째가 안티바이러스 제품에서 미리 진단해서 방비하는 건데 안티바이러스 제품마다
PUA(potentially unwanted application) 탐지에 대한 기준이 다르고(PUA가 악성코드는 아니기에)
실제로 이런 PUA 진단이 강하지도 않다. 또 PUA 진단율이 높다고 말하는 제품도 정작 PUA로 진단해야할
번들 소프트웨어를 다른 기준에 근거해서 제외시키는 경우가 많기 때문이다. 일례로 Ask toolbar의 진단은 현재에 들어서 ESET (진단)외에는 본 기억이 없다. 해외에서 PUA 진단이 강한 유명 제품은 ESET 이라는 생각이고 근래에는 카스퍼스키도 이 부분에 신경을 쓰는 듯하다. 무료나 광고소프트웨어가 후에
악성코드 설치의 감염경로가 되기도 하기에 앞으로는 PUA 진단이 엄격한 제품을 선택하는 게 좋을
듯하다.