반응형
국내 인터넷 상에서 언제부터인지 pe.kr 도메인을 이용한 광고 행위가 증가하고 있으며, 특히 포털 사이트 검색에서 상위에 위치하거나 대량으로 등록하여 노출을 증가시키는 방식으로 웹하드 등 금전적 목적으로 이용되는 것을 확인할 수 있습니다.
특히 근래에는 해당 광고에 사용되는 tuga.js 스크립트 파일에 대해 일부 해외 보안 제품에서 악성코드로 진단하는 부분을 확인하였기에 전체적인 흐름을 살펴보도록 하겠습니다.
해당 페이지에서는 어두운 색 계열의 바탕에 아무런 표시도 없이 [Loading..]이라는 문구만 표시가 되어 있습니다.
하지만 해당 페이지의 소스를 확인해보면 추가적으로 tuga.js 스크립트가 포함되어 있으며, 일부 해외 보안 제품에서 해당 스크립트에 대하여 악성코드로 진단하는 사례를 발견할 수 있습니다.
예를 들어 AVG 보안 제품에서는 해당 스크립트에 대하여 JS/Downloader.Agent (VirusTotal : 12/43) 진단명으로 진단되고 있습니다.
만약 사용자가 해당 페이지의 특정 항목을 클릭할 경우 국내 웹하드 사이트로 연결이 이루어지면서 특정 추천인 아이디가 추가되는 형태를 취하고 있습니다.
현재 국내 포털 사이트, 블로그, 인터넷 게시판 등을 통해 검색시 노출되는 pe.kr 도메인을 이용한 위와 같은 광고는 상당히 다양한 도메인으로 구성되어 있으며 최종적으로 웹하드 접근시 추천인이 포함되어 금전적 수익이 발생합니다.
이런 검색 노출은 정상적인 정보를 찾는 사용자에게 방해가 될 수 있으며, 사용되는 스크립트에 대해 보안 제품에서 진단하는 문제로 PC 감염을 의심하는 경우가 발생할 수 있으므로 문제가 된다고 판단됩니다.
특히 근래에는 해당 광고에 사용되는 tuga.js 스크립트 파일에 대해 일부 해외 보안 제품에서 악성코드로 진단하는 부분을 확인하였기에 전체적인 흐름을 살펴보도록 하겠습니다.
[테스트 연결 URL 정보]
h**p://******.opendown.pe.kr/339 :: 네이버(Naver) 검색 결과 제시 URL
ㄴ h**p://*****.ee*.pe.kr :: 실제 접속시 표시되는 URL
ㄴ h**p://*****.godohosting.com/01jsp/tuga.js :: 접속 사이트에서 연결하는 악성 스크립트
h**p://******.opendown.pe.kr/339 :: 네이버(Naver) 검색 결과 제시 URL
ㄴ h**p://*****.ee*.pe.kr :: 실제 접속시 표시되는 URL
ㄴ h**p://*****.godohosting.com/01jsp/tuga.js :: 접속 사이트에서 연결하는 악성 스크립트
해당 페이지에서는 어두운 색 계열의 바탕에 아무런 표시도 없이 [Loading..]이라는 문구만 표시가 되어 있습니다.
하지만 해당 페이지의 소스를 확인해보면 추가적으로 tuga.js 스크립트가 포함되어 있으며, 일부 해외 보안 제품에서 해당 스크립트에 대하여 악성코드로 진단하는 사례를 발견할 수 있습니다.
예를 들어 AVG 보안 제품에서는 해당 스크립트에 대하여 JS/Downloader.Agent (VirusTotal : 12/43) 진단명으로 진단되고 있습니다.
만약 사용자가 해당 페이지의 특정 항목을 클릭할 경우 국내 웹하드 사이트로 연결이 이루어지면서 특정 추천인 아이디가 추가되는 형태를 취하고 있습니다.
현재 국내 포털 사이트, 블로그, 인터넷 게시판 등을 통해 검색시 노출되는 pe.kr 도메인을 이용한 위와 같은 광고는 상당히 다양한 도메인으로 구성되어 있으며 최종적으로 웹하드 접근시 추천인이 포함되어 금전적 수익이 발생합니다.
이런 검색 노출은 정상적인 정보를 찾는 사용자에게 방해가 될 수 있으며, 사용되는 스크립트에 대해 보안 제품에서 진단하는 문제로 PC 감염을 의심하는 경우가 발생할 수 있으므로 문제가 된다고 판단됩니다.
728x90
반응형