티스토리 뷰





국내에서 제작되어진 검색 도우미 CloverPlus의 변종에 대하여 알아보도록 하겠습니다.


일반적인 검색도우미와 다르게 감염 시 백그라운드로 인터넷 익스플로어를 구동하여

관련된 특정 키워드를 호출하여 금전적인 이득을 취하는 방식입니다.


카스퍼스키 보안 제품에서는 not-a-virus:AdWare.Win32.KSG.zu 으로 진단하고 있습니다.



 

 악성파일 정보





 

 생성파일 정보


C:\Documents and Settings\Administrator\바탕 화면\옥션.url

 C:\Documents and Settings\Administrator\Favorites\연결\옥션.url

 C:\Documents and Settings\Administrator\Favorites\옥션 - 앞으로의 인터넷 쇼핑, 옥션.url
 C:\Documents and Settings\Administrator\바탕 화면\11번가.url

 C:\Documents and Settings\Administrator\Favorites\연결\11번가.url

 C:\Documents and Settings\Administrator\Favorites\11번가 - 고객감동 No.1, 11번가.url
 C:\Documents and Settings\Administrator\바탕 화면\G마켓

 C:\Documents and Settings\Administrator\Favorites\연결\G마켓.url

 C:\Documents and Settings\Administrator\Favorites\G마켓 - 놀라움을 쇼핑하다, G마켓.url



사용자의 바탕화면 및 즐겨찾기 위치에 인터넷 쇼핑몰의 바로가기가 생성되며 각 파일의 속성을 살펴보면

직접 해당 쇼핑몰로 연결되지 않고 광고 링크를 통하여 접속이 되도록 설정이 되어 있습니다.



http://click.clickstory.co.kr/?vanilla=WEJoS1FXTzY3RE1VaERGYTN0cUZXYndLZXhlMzk3RWxhZkV4V1BBZktXd2pmSUNZ&turl=http://www.11st.co.kr
 http://click.clickstory.co.kr/?vanilla=dXhlVGFCUDhKMTlXbkE4VzN0cUZXYndLZXhlMzk3RWxsVkZ5RmFlQkpRUWpmSUNZ&turl=http://www.gmarket.co.kr
 http://click.clickstory.co.kr/?vanilla=QTFLTGZxOTEvSjNFaXNKZzN0cUZXYndLZXhlMzk3RWxEMUkwSktyOG9GNE9GNzF4&turl=http://www.auction.co.kr



해당 악성코드는 백그라운드로 인터넷 익스플로러 프로세스를 실행시켜 임의로 생성한 URL을 호출하게 되어

있으며, 호출 된 페이지에 스크립트가 삽입되어 있어 광고 링크를 호출하게 됩니다. 호출 된 페이지 소스엔

다른 광고성 스크립트가 삽입되어 있어 요청 할 때마다 연쇄적으로 호출을 하도록 되어 있습니다.






악성코드가 이용하는 광고 링크입니다.





해당 샘플은 일반 검색도우미와 같이 시스템에 설치가 되거나 BHO가 등록되는 등의 행위은 없었지만,

실제 감염 시에는 일반적인 감염 증상과 동일할 것으로 생각됩니다.










댓글
댓글쓰기 폼