싸이월드 방문자 추적기를 사칭한 스파이웨어 배포 싸이트

Posted by Jerry on 2007/03/29 18:46
Filed under Spyware
Tags : , , , ,
싸이월드(Cyworld) 방문자 추적 기능을 제공한다고 사용자를 속여서 스파이웨어(Spyware)를 설치하는 페이지가 있다.

해당 페이지를 방문하면 [그림 1]과 같은 메인 화면을 볼 수 있다.
싸이월드 방문자 추적 기능을 제공한다고 사칭하는 스파이웨어 배포 싸이트
[그림 1] 싸이월드 방문자 추적 기능을 제공한다고 사칭하는 스파이웨어 배포 싸이트


싸이월드(Cyworld) 접속 인덱스를 인자로 넘기는 폼인데 소스를 보면 [그림 2]와 같이 단순히 특정 웹 사이트의 2.html을 호출하는 스크립트로 되어 있는것을 알 수 있다.
사용자 삽입 이미지
[그림 2] 데이터 입력 폼의 소스


소스를 자세히 보면 주소를 입력하는 부분인 tahnk의 내역은 별도의 폼에 있고 실제 쿼리를 post로 전송 하는 폼 또한 별도로 있다.
해당 소스의 내용으로 보면 단순히 특정 웹페이지의 [2.html] 경로로 리다이렉션(redirection) 시키는 기능만 수행하는것을 알 수 있다. 즉, 입력한 싸이월드 주소는 아무런 상관이 없음을 알 수 있다.

[API 실행] 버튼을 누르면, [그림 3]과 같이 실제 특정 페이지의 [2.html]로 이동하기만 한다.
사용자 삽입 이미지
[그림 3] 특정 페이지의 2.html 스크린

해당 페이지의 소스를 살펴보면 [그림 4]와 같이 단순히 또 다른 페이지로 페이지를 리다이렉션(redirection) 시키는 것을 확인할 수 있다.
사용자 삽입 이미지
[그림 4] 페이지 리다이렉션 메타 태그


소스를 보면 5초 후 특정 페이지의 [3.html]로 페이지를 리다이렉션(redirection) 시키는 기능을 하는것을 알 수 있다.
[그림 3]에서 표기된 API 정보를 서버로 전송한다는 말은 허구임을 알 수 있다.

실제 이동된 [3.html]페이지를 보면 [그림 5, 6]과 같은 페이지가 나타난다.
이 페이지에선 사용자의 Internet Explorer의 보안 설정을 낮추는 방법을 보여주고 있다.
이 방법대로 셋팅하면 웹서핑시 설치하는 모든 ActiveX를 사용자 동의 없이 자동으로 설치를 한다.
즉, 사용자는 심각한 보안 위협 상태에 빠질 수 있다.
사용자 삽입 이미지
[그림 5] 보안 셋팅을 낮추는 설정 방법을 보여주는 화면


사용자 삽입 이미지
[그림 6] 보안 셋팅을 낮추는 방법을 보여주는 화면


그럼 이 페이지의 소스를 살펴보자.
 
사용자 삽입 이미지
[그림 7] 재전송 페이지의 소스

역시 예상대로 그냥 특정 페이지의 [kenel.html]을 불러온다. 재전송을 할 경우 일반적으로 input 태그를 이용하고 hidden으로 앞에 받았던 내용을 재전송하는 것이 기본이다. 실제 쿠키를 사용하여 정보를 저장하지 않음에도 불구하고, 그냥 페이지를 이동하는 것을 확인할 수 있다.

그럼 다음 페이지로 이동해 보자.
사용자 삽입 이미지
[그림 8] 경고창 발생


페이지를 이동하자 말자 다음과 같은 경고창이 발생한다. 왜 이 경고창이 발생했는지 확인해 보자.
[그림 7]에서 확인한 페이지의 소스를 살펴보자.

사용자 삽입 이미지

[그림 8] [그림 7]이 표기된 페이지의 소스

모두가 예상을 했겠지만, 단순히 alert로 경고창을 실행시키는 기능만을 제공한다.

그 하단의 소스를 살펴보면 무수히 많은 애드웨어, 스파이웨어를 설치하는 ActiveX 객체 삽입 코드를 볼 수 있다.
사용자 삽입 이미지
[그림 9] 스파이웨어, 애드웨어 설치 코드


[그림 9]에서 보면 알 수 있듯 무수히 많은 스파이웨어와 애드웨어를 설치하는 코드가 있음을 알 수 있다.
즉, 앞의 과정처럼 보안 셋팅을 낮추면 이 수많은 스파이웨어와 애드웨어가 아무런 제지 없이 설치된다. 실제 이렇게 설치하는 스파이웨어 및 애드웨어의 수는 15개이다.

이 페이지의 호출이 끝나면 다음과 같은 페이지를 볼 수 있다.
사용자 삽입 이미지
[그림 10] 종료 페이지


이런 사기꾼들로 인해 다수의 선량한 사람들이 피해를 보고 있다.
정말 칼만 안 들었지 강도, 사기꾼이라고 표현하는게 적당하다.

나쁜X....
크리에이티브 커먼즈 라이센스
Creative Commons License
이올린에 북마크하기(0) 이올린에 추천하기(0)
Trackback 0  |   Comment 11
Trackback URL >> http://mireenae.com/trackback/80
  1. Ariel 2007/03/29 12:11  댓글주소  수정/삭제  댓글쓰기
    [이올린에서 보고왔습니다] 뭐 저런걸 만드는 사람도 나쁘지만 낚이는것도 자기 죄지요...
    • Sijoon  2007/03/29 13:10  댓글주소  수정/삭제
      자신의 이익을 위해 남을 희생 시키는건 잘못된 일인거 같아요
      이 글을 본 사람들은 더 이상 저런 사이트에 낚이지 않으면 그걸로 전 충분해요^^
  2. 마틴 2007/03/29 12:12  댓글주소  수정/삭제  댓글쓰기
    컴퓨터를 모르는 사람들은 딱! 속기 좋은 것들이군요.
    하긴 컴퓨터를 모르는 사람들은 싸이도 모르려나?
    하이통 나쁜사람들이네요.
    • Sijoon  2007/03/29 13:11  댓글주소  수정/삭제
      사람이 가지고 있는 지식의 깊이는 다 다르죠~
      우리가 자동차를 운전할때도 자동차의 모든것을 알고난 후 운전 하는게 아니라 운전에 필요한 인터페이스만 배우듯 컴퓨터도 마찬가지인것 같아요.
      더 이상 저런 사이트로 인해 피해를 겪지 않았으면 하는 마음에서 글을 적었어요^^
      저런 사람들은 진짜 사기꾼들이에요.
  3. dd 2007/04/10 08:53  댓글주소  수정/삭제  댓글쓰기
    Sijoon

    혼자 고귀한척 살지 말어라
    • Sijoon  2007/04/10 20:17  댓글주소  수정/삭제
      잘못된 부분은 얘기를 하고 알려야 시정되지 않을까요?
      생각에는 차이가 있겠지만 아버지를 아버지라 부르지 못하는 세상은 좀 아닌거 같네요~..
      그리고 저렇게 남에게 피해를 주면서 사는 것 보단 혼자 고귀한척 사는게 전 더 마음에 드는군요.. 님은 안 그런가요?
    • ㅉㅉㅉ  2007/05/21 11:44  댓글주소  수정/삭제
      초딩이네요.
  4. keshirian 2007/04/26 17:25  댓글주소  수정/삭제  댓글쓰기
    저거 저도 낚였는데 어케 치료방법 없을까요? 컴 완죤 맛이갔네요...ㅠㅅㅠ
    • Jerry  2007/04/27 14:21  댓글주소  수정/삭제
      일단 프로그램 추가 제거에 가셔서 Keshirian님이 설치하지 않은 항목은 모두 제거 하시기 바랍니다.
      그리고 낮춰진 보안 설정은 다시 높여 주시고요~
      그렇게 하면 일단은 어느정도 문제는 해결 됩니다.
  5. 비밀방문자 2007/06/28 17:47  댓글주소  수정/삭제  댓글쓰기
    관리자만 볼 수 있는 댓글입니다.
Leave a comment
[로그인][오픈아이디란?]
◀ prev 1 ... 132 133 134 135 136 137 138 139 140 ... 212 next ▶