본문 바로가기

IT 관련

금융감독원 팝업 제거방법

 

 

 

동생의 PC를 사용하려고 하니 포털 사이트 한 가운데에 떡하니 금융감독원 팝업창이 뜹니다.

하지만, 금융감독원에서 이런 팝업을 포털 사이트에 게재 하지는 않겠죠?

 

 

 

다른 포털에 들어가도 이 팝업창이 떡하니 나타납니다.

 

 

 

이중에 스탠다드차터드 은행을 클릭해서 들어가면

전자금융사기 예방서비스 가입을 할 수 있는 팝업창이 나타납니다.

그런데, 잘 보면 무언가 이상 한 것을 찾을 수 있습니다.

디자인이 현재 스탠다드차터드 은행과 다를 뿐만 아니라

디자인도 매끄럽지 않습니다.

 

 

 

 

예방서비스 가입을 누르면 공인인증센터로 연결 되는데 주민번호를 입력하게 되어 있습니다.

아무 주민번호나 대충 눌러보니 실제로 인증이 가능한가봅니다.

 

 

 

KB국민은행에 들어가니 스탠다드차터드 은행과 디자인이

별반 다르지 않습니다.

 

 

 

 

 

MG새마을금고 사이트에 들어가 봤습니다.

재미있는건 사이트 어디를 눌러도 링크로 넘어가지 않는점입니다.

그냥 페이지만 만들어서 넣었나봐요.

 

 

 

알약을 이용해 검사를 진행하니 호스트파일일 변조 된것을 확인 할 수 있습니다.

하지만, 치료를 진행해도 완전한 치료가 되지 않습니다.

아무래도 변종인듯......

 

 

 

\WINDOWS\system32\drivers\etc에 들어가보니 평소에 보지 못했던 두 파일을 발견했습니다.

바로 hosts.ics와 hosts_backup 파일입니다.

 

 

 

hosts_backup 파일을 열어보니 동일한 아이피로 은행 URL이 등록되어 있는 것을 확인 할 수 있습니다.

해당 아이피를 확인해 보니 일본 아이피네요.

 

 

 

hosts.ics 파일은 그냥 삭제 되지 않습니다.

작업관리자에서 해당 프로세스를 찾아(이 경우 lanks[1]) 죽여야합니다.

저의 경우 일일이 찾는 것이 귀찮아  unlocker 툴을 이용해 해당 프로세스를 죽였답니다.

 

 

 

프로세스를 죽였다고 끝난게 아닙니다. 컴퓨터를 재부팅하면 동일한 파일이 생성 되거든요.

일단 숙주를 찾아야 합니다.

시작 프로그램에서 → 실행 → msconfig를 눌러 lanks[1]을 찾습니다. 체크박스에서 체크를 지웁니다.

 

 

 

C:\Program Files\Common Files 안에 있는 lanks[1]을 삭제.

 

이렇게 하고 나니 더 이상 금융감독원 팝업이 나오지 않습니다.