cnhv.co 코인하이브 가상화폐 채굴기

 

인터넷 시작페이지를 변경하기 위해서는 인터넷 -도구 - 인터넷 옵션 - 일반탭의 홈페이지에서 원하는 시작페이지 주소를 입력하면

됩니다.

 

 

 

내 컴퓨터의 시작페이지는 네이버입니다.

그런데 컴퓨터를 재부팅하면  네이버가 아닌 https://cnhv.co/9ipz인 가상화폐 채굴사이트가 시작페이지에 등록이 되는것입니다.

 

 

 

https://cnhv.co는 코인하이브의 홈페이지입니다.

 

가상 화폐 채굴기 서비스를 하는 코인하이브에 대해서 조금 알아봤습니다.

 

- 공개 자바스크립트를 이용하여 가상화폐 모네로를 채굴하는 서비스를 제공하는 업체

- 이전에 크롬 일부 확장프로그램에서 코인하이브 자바스크립트가 무단으로 실행된 사건이 있었음

- 유튜브 광고에 코인하이브에서 서비스하는 채굴 자바스크립트가 심어졌던 사건이 있었음

- 구인구직 사이트를 이용한 입사지원 이메일에 첨부파일(악성코드)을 넣어 배포가 됨

 

정상적인 방법으로 사용되면 좋은 서비스인데 악성코드처럼 배포되고 있습니다.

 

그게 내컴퓨터에서도 일어나다니 믿을 수가 없습니다.

 

 

컴퓨터 부팅을 하면 인터넷 시작페이지가 변경이 되는점을 이용하기위해서 ProcessMonitor를 실행합니다.

부팅될때 로고가 남기는 설정을 해줍니다.

 

 

 

 

 

컴퓨터를 재부팅후 ProcessMonitor를 다시 실행합니다.

 

로그에 BrowserConfig.exe라는 프로세스가 도배 되어있습니다.

경로를 찾아들어가보니 Nero 2014 Platinum입니다.

 

 

C:\Program Files\Nero 2014 Platinum\BrowserConfig.exe
C:\Program Files\Nero 2014 Platinum\run.bat
C:\Program Files\Nero 2014 Platinum\SampleConfig.txt
C:\Program Files\Nero 2014 Platinum\SearchDef.xml
C:\Program Files\Nero 2014 Platinum\unins000.dat
C:\Program Files\Nero 2014 Platinum\unins000.exe

 

네로는 아주 유명한 프로그램이기에 의미을 할수가 없습니다.

그래도 virustotal에서 검색을 해봤습니다.

 

 

 

67개의 제품에서 Clean

 

그래도 혹시나 하는 마음에 Nero 2014 Platinum프로그램을 삭제후 시작페이지를 네이버로 설정하고 재부팅을 했습니다.

믿기 어렵지만 시작페이지가 https://cnhv.co가 아닌 네이버로 뜹니다.

 

 

같은 문제로 고민이있으시다면 참고하세요.