울지않는벌새 : Security, Movie & Society

마이센스(Mysense) 코드를 통한 블로그 악성코드 유포 문제 안내 (2010.8.17)

벌새::Analysis
구글 애드센스(Google Adsense) 광고를 이용하시는 분들 중에서 부정 클릭을 방지할 목적으로 국내에서 서비스하는 마이센스(Mysense) 코드를 추가한 사이트, 블로그에서 현재 악의적인 스크립트가 추가되어 악성코드를 유포하고 있는 것을 확인하였습니다.
이로 인하여 구글 크롬(Google Chrome) 웹 브라우저를 이용한 사이트 접속시 경고창을 통한 차단이 이루어지거나 기타 웹 브라우저를 이용하여 해당 코드가 추가된 사이트에 접속시 취약점을 가진 시스템의 경우 자동으로 감염이 유발될 수 있습니다.

이와 유사한 문제가 최근에 특정 광고 서버가 감염되어 해당 광고를 게시한 블로그에서 확인이 되는 등의 문제에 대해 한 차례 언급한 적이 있었습니다.

이번 유포에 이용된 마이센스의 경우 해당 서비스 이용을 위해 블로그 등에 추가한 [h**p://ad******.kr/adinfo/mysense.js.html?id=(사용자 ID)&time=(Time)&count=(숫자)&bmode=hide] 소스에 그림과 같은 악성 iframe이 삽입되어 있는 것을 확인할 수 있습니다.

[악성코드 유포 경로]

h**p://www.iga**.co.kr/hong/rook.html
  ㄴ h**p://www.iga**.co.kr/hong/cool.html
    ㄴh**p://www.iga**.co.kr/hong/ko1.htm
      ㄴ h**p://www.iga**.co.kr/hong/kof.htm
        ㄴ h**p://www.iga**.co.kr/hong/ki.htm
          ㄴ h**p://www.iga**.co.kr/hong/swfobject.js
        ㄴh**p://www.iga**.co.kr/hong/a10.htm
          ㄴ h**p://www.iga**.co.kr/hong/ff.html : Firefox 환경 동작 - AVG : Script/Exploit
            ㄴ h**p://www.iga**.co.kr/hong/xp.swf : 다운로드 불가
            ㄴ  h**p://www.iga**.co.kr/hong/ff.js
          ㄴ h**p://www.iga**.co.kr/hong/ie.html : Internet Explorer 환경 동작 - AhnLab V3 : JS/Shellcode
            ㄴ h**p://www.iga**.co.kr/hong/xp.swf : 다운로드 불가
            ㄴ  h**p://www.iga**.co.kr/hong/ie.js
        ㄴh**p://www.iga**.co.kr/hong/f0.htm
          ㄴ h**p://www.iga**.co.kr/hong/anhey.swf : AntiVir : EXP/SWF.44358
        ㄴ h**p://www.iga**.co.kr/hong/kf.htm
          ㄴ h**p://www.iga**.co.kr/hong/swfobject.js
          ㄴ h**p://www.iga**.co.kr/hong/a10.htm
          ㄴ h**p://www.iga**.co.kr/hong/f0.htm
    ㄴh**p://www.iga**.co.kr/hong/i6.htm
    ㄴh**p://www.iga**.co.kr/hong/i7.htm
      ㄴ h**p://www.iga**.co.kr/hong/AHHS.js
      ㄴ h**p://www.iga**.co.kr/hong/AHHS2.js
      ㄴ h**p://www.iga**.co.kr/hong/AHH3.js
      ㄴ h**p://www.iga**.co.kr/hong/love.exe : 다운로드 불가

해당 악성 iframe을 통해 이를 통해 변조된 특정 도메인에서 rook.html 파일을 불러와 Internet Explorer 6 / 7 버전 사용자, Firefox 웹 브라우저 사용자, Adobe Flash Player 사용자 중 보안 패치가 이루어지지 않은 취약점이 노출된 시스템을 감염시킬 위험성이 있습니다.

현재 최종적으로 사용자 시스템에서 다운로드될 Adobe Flash Player 취약점을 이용한 anhey.swf(MD5 : 2e7445d77d6e842a800cdfdfe70fcc6a) 파일은 AntiVir 보안 제품에서 EXP/SWF.44358 진단명으로 진단되는 것을 확인할 수 있으며, 온라인 게임 계정 탈취 목적으로 추정되는 love.exe 파일은 현재 차단되어 정상적으로 다운로드가 이루어지지 않고 있습니다.

그러므로 인터넷 사용자들은 근본적인 예방을 위해서는 Internet Explorer 8 버전으로 업데이트를 하시기 바라며, 현재까지 공개된 Windows 보안 패치를 모두 설치하시기 바랍니다.

또한 웹 브라우저에서 플러그인 방식으로 동작하는 Adobe Flash Player 최신 버전 10.1.82.76 버전으로 반드시 업데이트를 하시고 이용하시기 바랍니다.

현재 자신의 사이트, 블로그에 추가한 마이센스 코드가 존재할 경우 방문하는 인터넷 사용자의 시스템을 감염시킬 수 있으므로 반드시 소스에 추가된 마이센스 스크립트를 제거하시기 바랍니다.