본문 바로가기

벌새::Analysis

pe.kr 도메인을 이용한 웹하드 광고 악성 스크립트 tuga.js 주의 (2010.12.7)

국내 인터넷 상에서 언제부터인지 pe.kr 도메인을 이용한 광고 행위가 증가하고 있으며, 특히 포털 사이트 검색에서 상위에 위치하거나 대량으로 등록하여 노출을 증가시키는 방식으로 웹하드 등 금전적 목적으로 이용되는 것을 확인할 수 있습니다.

특히 근래에는 해당 광고에 사용되는 tuga.js 스크립트 파일에 대해 일부 해외 보안 제품에서 악성코드로 진단하는 부분을 확인하였기에 전체적인 흐름을 살펴보도록 하겠습니다.

인터넷 사용자가 네이버(Naver)와 같은 검색을 통해 특정 검색어를 입력할 경우 블로그 영역의 최상단에 그림과 같은 4개의 결과 중 2개가 pe.kr 도메인을 포함한 내용이 노출이 되며, 해당 검색 내용은 의미가 없는 내용으로 구성되어 있는 것을 확인할 수 있습니다.

[테스트 연결 URL 정보]

h**p://******.opendown.pe.kr/339 :: 네이버(Naver) 검색 결과 제시 URL
 ㄴ h**p://*****.ee*.pe.kr :: 실제 접속시 표시되는 URL
   ㄴ h**p://*****.godohosting.com/01jsp/tuga.js :: 접속 사이트에서 연결하는 악성 스크립트

해당 검색 결과 중 [h**p://******.opendown.pe.kr/339] 페이지에 접속을 시도하였을 경우, 도착한 페이지는 [h**p://*****.ee*.pe.kr]로 연결되는 것을 확인할 수 있습니다.

해당 페이지에서는 어두운 색 계열의 바탕에 아무런 표시도 없이 [Loading..]이라는 문구만 표시가 되어 있습니다.

하지만 해당 페이지의 소스를 확인해보면 추가적으로 tuga.js 스크립트가 포함되어 있으며, 일부 해외 보안 제품에서 해당 스크립트에 대하여 악성코드로 진단하는 사례를 발견할 수 있습니다.

예를 들어 AVG 보안 제품에서는 해당 스크립트에 대하여 JS/Downloader.Agent (VirusTotal : 12/43) 진단명으로 진단되고 있습니다.

먼저 검색 결과에 제시된 URL(h**p://******.opendown.pe.kr/339)로 접속을 시도할 경우 응답하는 URL(h**p://*****.ee*.pe.kr)은 그림을 통해 확인하실 수 있습니다.

tuga.js

응답되어 노출된 h**p://*****.ee*.pe.kr 페이지에서는 tuga.js 스크립트가 그림과 같이 난독화된 형태로 포함되어 있으며 이는 사용자가 외부에서 접속되는 부분에 대해 숨기고 싶은 부분에 대한 분석을 방해할 목적으로 제작하였을 것으로 추정됩니다.

해당 tuga.js 스크립트 파일을 복호화를 해보면 disk4.net 도메인으로 연결을 시도하는 부분을 확인할 수 있습니다.

disk4.net 도메인을 확인해보면 그림과 같이 접속 후 일정 시간이 경과하면 특정 웹하드 사이트로 연결을 시도하는 것을 확인할 수 있습니다.

실제 tuga.js 스크립트는 사용자 PC 환경에 따라 자동으로 그림과 같은 광고 페이지로 이동되는 것으로 추정됩니다.

해당 페이지 접근 URL 정보를 확인해보면 페이지 구성은 다음(Daum), 티스토리(Tistory) 블로그에 등록된 콘텐츠를 불러와 구현이 이루어지며, 접속 관련 카운터(Counter)를 집계하는 것으로 추정됩니다.

만약 사용자가 해당 페이지의 특정 항목을 클릭할 경우 국내 웹하드 사이트로 연결이 이루어지면서 특정 추천인 아이디가 추가되는 형태를 취하고 있습니다.

현재 국내 포털 사이트, 블로그, 인터넷 게시판 등을 통해 검색시 노출되는 pe.kr 도메인을 이용한 위와 같은 광고는 상당히 다양한 도메인으로 구성되어 있으며 최종적으로 웹하드 접근시 추천인이 포함되어 금전적 수익이 발생합니다.

이런 검색 노출은 정상적인 정보를 찾는 사용자에게 방해가 될 수 있으며, 사용되는 스크립트에 대해 보안 제품에서 진단하는 문제로 PC 감염을 의심하는 경우가 발생할 수 있으므로 문제가 된다고 판단됩니다.