반응형
국내 특정 ActiveX 유포를 위해 제작된 웹 사이트를 방문할 경우 이미 2007년 6월경에 발견된 악성코드와 관련하여 설치를 하려는 시도가 여전히 발견되는 곳이 있습니다.
해당 dnegsearchProj1.ocx 설치 컨트롤러의 경우 게시자가 알 수 없기에 윈도우에서 기본적으로 차단을 하고 있으며, 실제 인증서의 유효 기간이 만료가 된 것을 확인할 수 있습니다.
해당 코드의 유포 소스를 확인해보면 국내 특정 도메인을 확인할 수 있으며 해당 사이트로 연결을 시도해 보았습니다.
실제 배포 서버는 실제 존재하며 접속이 잘 되지만, 위와 같이 마치 구현되는 내용이 없기에 도메인을 찾을 수 없다는 메시지를 통해 존재하지 않는 것처럼 위장을 하고 있습니다.
해당 사이트 도메인을 통해 등록 정보를 확인해보면 여전히 해당 사이트는 모업체에 의해 등록된 상태임을 알 수 있습니다.
앞서 말한 것처럼 상당히 오래전에 배포가 되었던 것으로 현재 하우리(Hauri) 제품에서는 Adware.EGSPlayer.256304 진단명으로 진단하고 있습니다.
가끔보면 위와 같이 배포 서버를 운영하면서 접근자를 속이기 위해 저런 방식으로 위장을 하는 사이트가 있는 것 같습니다.
당시 2007년 6월에 확인된 ActiveX 차단 목록을 살펴보면 egSearchPlayer라는 설치 컨트롤러를 배포한 것으로 기록되어 있습니다.
해당 값을 차단을 했는데 뜬금없이 보이기에 정리를 해 보았습니다.
해당 dnegsearchProj1.ocx 설치 컨트롤러의 경우 게시자가 알 수 없기에 윈도우에서 기본적으로 차단을 하고 있으며, 실제 인증서의 유효 기간이 만료가 된 것을 확인할 수 있습니다.
해당 코드의 유포 소스를 확인해보면 국내 특정 도메인을 확인할 수 있으며 해당 사이트로 연결을 시도해 보았습니다.
실제 배포 서버는 실제 존재하며 접속이 잘 되지만, 위와 같이 마치 구현되는 내용이 없기에 도메인을 찾을 수 없다는 메시지를 통해 존재하지 않는 것처럼 위장을 하고 있습니다.
해당 사이트 도메인을 통해 등록 정보를 확인해보면 여전히 해당 사이트는 모업체에 의해 등록된 상태임을 알 수 있습니다.
MD5 : 8f2899da01212c9f3fa2b0c7941d591d
앞서 말한 것처럼 상당히 오래전에 배포가 되었던 것으로 현재 하우리(Hauri) 제품에서는 Adware.EGSPlayer.256304 진단명으로 진단하고 있습니다.
가끔보면 위와 같이 배포 서버를 운영하면서 접근자를 속이기 위해 저런 방식으로 위장을 하는 사이트가 있는 것 같습니다.
당시 2007년 6월에 확인된 ActiveX 차단 목록을 살펴보면 egSearchPlayer라는 설치 컨트롤러를 배포한 것으로 기록되어 있습니다.
해당 값을 차단을 했는데 뜬금없이 보이기에 정리를 해 보았습니다.
728x90
반응형