본문 바로가기

벌새::Analysis

마이센스(Mysense) 코드를 통한 블로그 악성코드 유포 문제 안내 (2010.8.17)

반응형
구글 애드센스(Google Adsense) 광고를 이용하시는 분들 중에서 부정 클릭을 방지할 목적으로 국내에서 서비스하는 마이센스(Mysense) 코드를 추가한 사이트, 블로그에서 현재 악의적인 스크립트가 추가되어 악성코드를 유포하고 있는 것을 확인하였습니다.
이로 인하여 구글 크롬(Google Chrome) 웹 브라우저를 이용한 사이트 접속시 경고창을 통한 차단이 이루어지거나 기타 웹 브라우저를 이용하여 해당 코드가 추가된 사이트에 접속시 취약점을 가진 시스템의 경우 자동으로 감염이 유발될 수 있습니다.

이와 유사한 문제가 최근에 특정 광고 서버가 감염되어 해당 광고를 게시한 블로그에서 확인이 되는 등의 문제에 대해 한 차례 언급한 적이 있었습니다.

이번 유포에 이용된 마이센스의 경우 해당 서비스 이용을 위해 블로그 등에 추가한 [h**p://ad******.kr/adinfo/mysense.js.html?id=(사용자 ID)&time=(Time)&count=(숫자)&bmode=hide] 소스에 그림과 같은 악성 iframe이 삽입되어 있는 것을 확인할 수 있습니다.

[악성코드 유포 경로]

h**p://www.iga**.co.kr/hong/rook.html
  ㄴ h**p://www.iga**.co.kr/hong/cool.html
    ㄴh**p://www.iga**.co.kr/hong/ko1.htm
      ㄴ h**p://www.iga**.co.kr/hong/kof.htm
        ㄴ h**p://www.iga**.co.kr/hong/ki.htm
          ㄴ h**p://www.iga**.co.kr/hong/swfobject.js
        ㄴh**p://www.iga**.co.kr/hong/a10.htm
          ㄴ h**p://www.iga**.co.kr/hong/ff.html : Firefox 환경 동작 - AVG : Script/Exploit
            ㄴ h**p://www.iga**.co.kr/hong/xp.swf : 다운로드 불가
            ㄴ  h**p://www.iga**.co.kr/hong/ff.js
          ㄴ h**p://www.iga**.co.kr/hong/ie.html : Internet Explorer 환경 동작 - AhnLab V3 : JS/Shellcode
            ㄴ h**p://www.iga**.co.kr/hong/xp.swf : 다운로드 불가
            ㄴ  h**p://www.iga**.co.kr/hong/ie.js
        ㄴh**p://www.iga**.co.kr/hong/f0.htm
          ㄴ h**p://www.iga**.co.kr/hong/anhey.swf : AntiVir : EXP/SWF.44358
        ㄴ h**p://www.iga**.co.kr/hong/kf.htm
          ㄴ h**p://www.iga**.co.kr/hong/swfobject.js
          ㄴ h**p://www.iga**.co.kr/hong/a10.htm
          ㄴ h**p://www.iga**.co.kr/hong/f0.htm
    ㄴh**p://www.iga**.co.kr/hong/i6.htm
    ㄴh**p://www.iga**.co.kr/hong/i7.htm
      ㄴ h**p://www.iga**.co.kr/hong/AHHS.js
      ㄴ h**p://www.iga**.co.kr/hong/AHHS2.js
      ㄴ h**p://www.iga**.co.kr/hong/AHH3.js
      ㄴ h**p://www.iga**.co.kr/hong/love.exe : 다운로드 불가

해당 악성 iframe을 통해 이를 통해 변조된 특정 도메인에서 rook.html 파일을 불러와 Internet Explorer 6 / 7 버전 사용자, Firefox 웹 브라우저 사용자, Adobe Flash Player 사용자 중 보안 패치가 이루어지지 않은 취약점이 노출된 시스템을 감염시킬 위험성이 있습니다.

현재 최종적으로 사용자 시스템에서 다운로드될 Adobe Flash Player 취약점을 이용한 anhey.swf(MD5 : 2e7445d77d6e842a800cdfdfe70fcc6a) 파일은 AntiVir 보안 제품에서 EXP/SWF.44358 진단명으로 진단되는 것을 확인할 수 있으며, 온라인 게임 계정 탈취 목적으로 추정되는 love.exe 파일은 현재 차단되어 정상적으로 다운로드가 이루어지지 않고 있습니다.

그러므로 인터넷 사용자들은 근본적인 예방을 위해서는 Internet Explorer 8 버전으로 업데이트를 하시기 바라며, 현재까지 공개된 Windows 보안 패치를 모두 설치하시기 바랍니다.

또한 웹 브라우저에서 플러그인 방식으로 동작하는 Adobe Flash Player 최신 버전 10.1.82.76 버전으로 반드시 업데이트를 하시고 이용하시기 바랍니다.

현재 자신의 사이트, 블로그에 추가한 마이센스 코드가 존재할 경우 방문하는 인터넷 사용자의 시스템을 감염시킬 수 있으므로 반드시 소스에 추가된 마이센스 스크립트를 제거하시기 바랍니다.

728x90
반응형
  • 저도 아침에 파이어폭스로 접속하니 이런표시가 나와 바로 마이센스를 띄어버렸습니다.

  • 알 수 없는 사용자 2010.08.17 11:22 댓글주소 수정/삭제 댓글쓰기

    저같은 경우에 마이센스 제거했는데도 악성코드 나온다고 계속 뜨네요. 그래서 구글측에 재검토 요청했는데 잘 될려나요.

    그리고 rook.html 다운받아서 한번 봤는데(물론 그후엔 V3라이트로 검사했습니다.) 중국쪽 사이트가 뜨더군요. 마이센스가 중국쪽에서 해킹당한듯 합니다.

    • 중국쪽에서 해킹한 것으로 알고 있습니다.

      마이센스를 제거해도 그렇다면 다른 광고쪽도 의심해 보세요.

    • 애드찜 광고쪽에서도 유포가 된다고 하므로 블로그에 광고가 있는 경우 제거를 하시기 바랍니다.^^

    • 알 수 없는 사용자 2010.08.17 12:37 댓글주소 수정/삭제

      애드찜은 안쓰고 있습니다.

      지금 쓰고있는 광고가 애드센스랑 알라딘 TTB밖에 없거든요. 그럼 둘다 내려야 하나?

    • 블로그를 확인해보면 현재 유포되는 부분이 없습니다.

      아마 인터넷 임시 폴더 때문으로 추정되므로 임시 폴더를 비워보시면 될 듯 싶습니다.

  • 아침에 출근에서 멀웨어 경고 이메일 받고 깜놀했내요.

    마이센스 코드 즉시 삭제 했습니다. 구글안전브라우징에서는 에드짐 광고도 해당된다고 나오더군요.

  • 알 수 없는 사용자 2010.08.18 02:54 댓글주소 수정/삭제 댓글쓰기

    벌새님 블로그 들어가니 악성코드 있다고 계속 뜨더군요.

    아직 구글쪽에 벌새님 블로그가 문제가 있다고 등록된 모양입니다. 아무튼 구글 웹마스터 도구 통해서 사이트 재검토 요청을 하시는게 좋을듯 합니다.(제껀 이렇게 해서 해결됐습니다.)

  • 벌새님은 아직 조치가 이루어지지 않았지만.그래도 안전한 블로그니까 안심하고 들어옵니다.윗분이 말씀한것럼 잠시 내리고 웹마스트 도구로 요청하는것이 좋을것 같습니다.

  • 티스토리 블로그에서 난리 났었군요. rook.html 안랩에 신고해줬더니 JS/Agent(추가 : 2010.08.17.02)라고 답변을 붙여 줬습니다. 취약점으로 악성코드를 많이 다운로드 하더라구요. 윈도우 업뎃을 정말 열심히 해야겠습니다.^^;

  • 비밀댓글입니다