오늘 웹하드를 이용하는데 프로그램을 업데이트 하길래 업데이트를 하는데 뭔가 설치가 완료가 안되고 한두번 재시도를 했는데 결국 못했습니다.
그냥 안해야겠다 하는데 익스플로러를 여는데 뭔가 이상하더군요.
우선 저는 시작페이지가 다음인데 네이버가 시작페이지로 뜨면서 뭔가 픽셀이 이상한 네이버가 뜨는것이었습니다.
뒷 배경의 네이버 포털이 다 그림파일이길래 딱보니까 가짜구나 했는데 이상하게 직접 주소창에 naver.com을 입력해도 본 페이지를 띄우더군요.
뭔가 이상해서 다음 네이트 다 연결해봤는데 똑같았습니다.
역시나 똑같은 이미지 파일배경에 저기 있는 은행사이트 링크 주소를 보니 은행사이트 도메인에 마지막에 .r 이 붙은 가짜주소.
제 북마크에 있는 진짜 은행사이트 연결시에는 페이지가 연결이 안되었습니다.
mse 백신을 돌려봤는데 딱히 잡히는게 없고 어떻게 해결해야하나 고민하다 naver.com은 연결이 안되지만 북마크에있는 세부 블로그나 지식인 주소는 연결이 되는것을 확인하고 검색을 해보았습니다.
위의 주소에서 비슷한 경우를 확인하고 cmd창에서 naver.com 연결 ip를 확인하니 표시된 정상 ip가 아닌 다른 아이피가 연결되어있어 이거다 싶었습니다.
제 공유기 설정을 봤는데 제 공유기 설정은 자동으로 DNS주소를 받아오는것으로 정상적으로 되어있어 우선 저 방법으로는 해결을 못했습니다.
(스마트폰 와이파이연결로는 정상적인 네이버에 연결되는것을 봐서도 공유기 문제는 아니었습니다.)
그때 딱 뭔가가 떠올라 공유기가 아닌 랜카드의 설정을 봤습니다.
윈도우7 기준 네트워크 및 공유 센터 - 로컬연결영역 - 속성 - TCP/IPv4를 더블클릭해 보니
기본값인 자동으로 DNS서버 주소 받기가 아닌 다음 DNS 주소사용에 체크가 되어있고 IP는 127.0.0.1로 설정이 되어있었습니다.
한마디로 저 피싱용 dns에 접속해 naver.com 연결시 가짜 네이버로 연결시키는 일을 하고있던거죠.
기본값인 자동으로 받기에 체크하니 문제는 간단히 해결됐습니다.
나름 보안에 신경을 쓰는 편이라 이런 경험이 처음이라 무지 놀랐네요. 그러면서 악성 코드가 이렇게 익스플로러와 네트워크 설정을 바꿔놓는다는것에도 많이 놀랐습니다.
혹시라도 피해보는분들이 없도록 올려봅니다.