국내에서 제작되어진 검색 도우미 CloverPlus의 변종에 대하여 알아보도록 하겠습니다.
일반적인 검색도우미와 다르게 감염 시 백그라운드로 인터넷 익스플로어를 구동하여
관련된 특정 키워드를 호출하여 금전적인 이득을 취하는 방식입니다.
카스퍼스키 보안 제품에서는 not-a-virus:AdWare.Win32.KSG.zu 으로 진단하고 있습니다.
|
악성파일 정보 |
|
생성파일 정보 |
C:\Documents and Settings\Administrator\바탕 화면\옥션.url C:\Documents and Settings\Administrator\Favorites\연결\옥션.url C:\Documents and Settings\Administrator\Favorites\옥션 - 앞으로의 인터넷 쇼핑, 옥션.url C:\Documents and Settings\Administrator\Favorites\연결\11번가.url C:\Documents and Settings\Administrator\Favorites\11번가 - 고객감동 No.1, 11번가.url C:\Documents and Settings\Administrator\Favorites\연결\G마켓.url C:\Documents and Settings\Administrator\Favorites\G마켓 - 놀라움을 쇼핑하다, G마켓.url |
사용자의 바탕화면 및 즐겨찾기 위치에 인터넷 쇼핑몰의 바로가기가 생성되며 각 파일의 속성을 살펴보면
직접 해당 쇼핑몰로 연결되지 않고 광고 링크를 통하여 접속이 되도록 설정이 되어 있습니다.
| http://click.clickstory.co.kr/?vanilla=WEJoS1FXTzY3RE1VaERGYTN0cUZXYndLZXhlMzk3RWxhZkV4V1BBZktXd2pmSUNZ&turl=http://www.11st.co.kr http://click.clickstory.co.kr/?vanilla=dXhlVGFCUDhKMTlXbkE4VzN0cUZXYndLZXhlMzk3RWxsVkZ5RmFlQkpRUWpmSUNZ&turl=http://www.gmarket.co.kr http://click.clickstory.co.kr/?vanilla=QTFLTGZxOTEvSjNFaXNKZzN0cUZXYndLZXhlMzk3RWxEMUkwSktyOG9GNE9GNzF4&turl=http://www.auction.co.kr |
해당 악성코드는 백그라운드로 인터넷 익스플로러 프로세스를 실행시켜 임의로 생성한 URL을 호출하게 되어
있으며, 호출 된 페이지에 스크립트가 삽입되어 있어 광고 링크를 호출하게 됩니다. 호출 된 페이지 소스엔
다른 광고성 스크립트가 삽입되어 있어 요청 할 때마다 연쇄적으로 호출을 하도록 되어 있습니다.
악성코드가 이용하는 광고 링크입니다.
해당 샘플은 일반 검색도우미와 같이 시스템에 설치가 되거나 BHO가 등록되는 등의 행위은 없었지만,
실제 감염 시에는 일반적인 감염 증상과 동일할 것으로 생각됩니다.
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 시스템파일 변조를 통한 온라인 게임 계정유출 악성코드 (0) | 2013.06.24 |
|---|---|
| 구글업데이트 위장한 악성코드(Zero-Day) :: Google_Mapu.exe (0) | 2013.04.09 |
| [악성코드분석] 윈도우 시스템 파일을 위장한 악성코드 분석 (0) | 2012.04.13 |
| [악성코드분석] 드디어 Dehydrating a String 코드 샘플을 구하다. (0) | 2012.02.28 |
| [악성코드분석] 원격 조정가능한 악성파일 (0) | 2012.01.25 |