악성코드에 감염되어 DNS조작으로 네이버 주소로 접속하면 가짜 네이버 사이트가 나오는 PC을 보았습니다.
컴퓨터 자체에 악성코드가 설치되어 있었고
네트워크의 DNS서버 주소가
Primary : 127.0.0.1
Second : 8.8.8.8
으로 변경되어 있었습니다.
악성코드 자체가 DNS서버 역할을 하는거죠...
이 악성코드에 감염되면 네이버 사이트를 접속시
23.231.144.66
이 IP로 접속하게 됩니다.
미국 소속의 IP으로 나오네요.
간단하게 ping을 때려서 이런 IP가 나오면 악성코드에 감염되신 겁니다.
감염되었을시 인터넷 익스플로어로 접속하면 이런게 나옵니다.
(크롬은 안나오네요. User-Agent검사를 하나 봅니다)
반응형
'보안' 카테고리의 다른 글
| github 피싱 메일 주의! (0) | 2020.04.05 |
|---|---|
| SafeNet 5110 AES Performance Test (0) | 2020.01.23 |
| 한국 메일로 유포되는 악성메일 분석 (JS/Obfus.S29) (0) | 2016.04.30 |
| 지속적인 Bash취약점 공격... (1) | 2015.07.31 |
| bash취약점!!! (리눅스·OS X 셸에 중대 보안취약점 발견) (0) | 2015.07.31 |
댓글