Jerry's BLOG

국내 애드웨어(adware)인데 파일 내부에 다음과 같이 "ahnlab babo" 라는 문구를 포함하고 있다.
팀에 다른 분이 발견한 문구이다.

이전에 발견한 "Fuck you V3!!!"에 이어 국내 업체 역시 분석가와의 대화(?)를 시도하는 듯 하다^^

스파이웨어를 분석하고 대응하다 보면 진단 항의를 하는 다수의 업체를 보게 된다. 돈을 벌기 위해 다른 사람에게 피해를 주는 행위가 어떻게 정당화 될 수 있는지 난 아무리 생각해도 이해할 수 없다.

컴퓨터는 사람들을 편리하게 해 주는 망치와 같은 일종의 도구이다. 하지만 이를 이용해 다른 사람에게 피해를 주면서까지 돈을 번다는건 아무리 생각해도 아닌것 같다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

최근 국내에서 스파이웨어(Spyware)나 애드웨어(Adware), 허위 안티 스파이웨어(Rogue Anti Spyware)를 설치하는 가장 흔한 방법이다. 주로 검색엔진에 현재 가장 이슈가 되고 있는 사건들로 미끼를 던지고 사용자들을 낚고 있다. 동영상을 보려고 할때 추가적으로 프로그램을 설치하라고 한다면 무조건 의심해 보는것이 좋다. 내가 포스팅 하기엔 좀 민망한 글이긴 하지만.... ^^

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

싸이월드(Cyworld) 방문자 추적 기능을 제공한다고 사용자를 속여서 스파이웨어(Spyware)를 설치하는 페이지가 있다.

해당 페이지를 방문하면 [그림 1]과 같은 메인 화면을 볼 수 있다.

싸이월드(Cyworld) 접속 인덱스를 인자로 넘기는 폼인데 소스를 보면 [그림 2]와 같이 단순히 특정 웹 사이트의 2.html을 호출하는 스크립트로 되어 있는것을 알 수 있다.

소스를 보면 5초 후 특정 페이지의 [3.html]로 페이지를 리다이렉션(redirection) 시키는 기능을 하는것을 알 수 있다.
[그림 3]에서 표기된 API 정보를 서버로 전송한다는 말은 허구임을 알 수 있다.

실제 이동된 [3.html]페이지를 보면 [그림 5, 6]과 같은 페이지가 나타난다.
이 페이지에선 사용자의 Internet Explorer의 보안 설정을 낮추는 방법을 보여주고 있다.
이 방법대로 셋팅하면 웹서핑시 설치하는 모든 ActiveX를 사용자 동의 없이 자동으로 설치를 한다.
즉, 사용자는 심각한 보안 위협 상태에 빠질 수 있다.


그럼 이 페이지의 소스를 살펴보자.
 
역시 예상대로 그냥 특정 페이지의 [kenel.html]을 불러온다. 재전송을 할 경우 일반적으로 input 태그를 이용하고 hidden으로 앞에 받았던 내용을 재전송하는 것이 기본이다. 실제 쿠키를 사용하여 정보를 저장하지 않음에도 불구하고, 그냥 페이지를 이동하는 것을 확인할 수 있다.

그럼 다음 페이지로 이동해 보자.
페이지를 이동하자 말자 다음과 같은 경고창이 발생한다. 왜 이 경고창이 발생했는지 확인해 보자.
[그림 7]에서 확인한 페이지의 소스를 살펴보자.



모두가 예상을 했겠지만, 단순히 alert로 경고창을 실행시키는 기능만을 제공한다.

그 하단의 소스를 살펴보면 무수히 많은 애드웨어, 스파이웨어를 설치하는 ActiveX 객체 삽입 코드를 볼 수 있다.
즉, 앞의 과정처럼 보안 셋팅을 낮추면 이 수많은 스파이웨어와 애드웨어가 아무런 제지 없이 설치된다. 실제 이렇게 설치하는 스파이웨어 및 애드웨어의 수는 15개이다.

이 페이지의 호출이 끝나면 다음과 같은 페이지를 볼 수 있다.

이런 사기꾼들로 인해 다수의 선량한 사람들이 피해를 보고 있다.
정말 칼만 안 들었지 강도, 사기꾼이라고 표현하는게 적당하다.

나쁜X....

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.