본문 바로가기

벌새::Analysis

악성코드 유포 - Hotmail 서비스 광고 배너 (2)


10월 7일 언급한 Hotmail 서비스의 특정 광고 배너로 인한 악성코드에 대한 글을 작성하였었습니다.

해당 글을 작성 당시 유포되던 샘플 확보에 실패하여 당시에는 자세한 정보를 기록하지 못하였는데 모연구소에서 해당 샘플을 문의를 하여 이번에는 다른 방식으로 접근을 하여 샘플을 확보하는데 성공하였습니다.

이전과 달리 이번에는 F-Secure 제품의 Web Traffic Scanning 방식으로 해당 악성코드가 어떤 경로로 진단을 하는지 파일 단위가 아닌 경로 단위로 추적을 해 보았습니다.

먼저 현재 Hotmail의 광고 배너는 다음과 같은 서버를 이용하는 것으로 보입니다.

[Hotmail 광고 서버]

http://rad.live.com/*********
http://a.rad.live.com/*********
http://b.rad.live.com/*********

이 외에도 더 있을 것으로 보입니다.

위의 Web Traffic Scanning에서는 첫 번째 진단 경로와 두 번째 진단 경로가 서로 다른 서버에서 동일 시간대에 무작위로 진단되는 것을 확인할 수 있었습니다.

분명한 부분은 해당 진단이 출력될 때마다 Hotmail의 광고 배너가 구현되지 않는 점을 통해 특정 광고 배너 또는 광고 서버상의 문제로 추정하게 되었습니다.

F-Secure의 Web Traffic Scanning 진단 경로명이 일부 짤리는 것으로 인해 정확한 경로명을 확인하기 위해 Microsoft Internet Explorer 8 베타 버전에서 제공하는 개발자 도구를 통해 해당 웹 사이트의 소스를 정확하게 살펴보기로 하였습니다.

해당 진단 경로는 광고 배너(Advertisement)에서 링크된 경로임을 재확인할 수 있었습니다.

하지만 실제 해당 경로를 다운로드하여 VirusTotal에서 검사를 하면 어떤 보안제품도 진단하지 않습니다.

그래서 이번에는 해당 광고 서버 경로를 이용하여 무작위로 새로고침 방식으로 refresh를 하여 진단이 되는 부분을 찾기로 하였습니다.

여기에서 제시되는 광고 서버 경로는 위에서 제시한 어떤 서버에서나 동일한 결과를 얻을 수 있습니다.

실제로 새로고침 과정에서 Kaspersky 진단명 Trojan-Clicker.JS.Agent.br 을 확인할 수 있었습니다.

이번에는 샘플을 확보하기 위하여 사용 중인 F-Secure 제품을 OFF한 상태에서 이 과정을 반복하여 임시로 받아진 Cache 파일 중에서 해당 진단명을 가진 악성코드를 추출할 수 있었습니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.10.9.3 2008.10.09 -
AntiVir 7.8.1.34 2008.10.09 -
Authentium 5.1.0.4 2008.10.09 -
Avast 4.8.1248.0 2008.10.09 -
AVG 8.0.0.161 2008.10.09 -
BitDefender 7.2 2008.10.09 -
CAT-QuickHeal 9.50 2008.10.08 -
ClamAV 0.93.1 2008.10.09 -
DrWeb 4.44.0.09170 2008.10.09 -
eSafe 7.0.17.0 2008.10.08 -
eTrust-Vet 31.6.6137 2008.10.09 -
Ewido 4.0 2008.10.09 -
F-Prot 4.4.4.56 2008.10.08 -
F-Secure 8.0.14332.0 2008.10.09 Trojan-Clicker.JS.Agent.br
Fortinet 3.113.0.0 2008.10.09 -
GData 19 2008.10.09 -
Ikarus T3.1.1.34.0 2008.10.09 -
K7AntiVirus 7.10.489 2008.10.09 -
Kaspersky 7.0.0.125 2008.10.09 Trojan-Clicker.JS.Agent.br
McAfee 5401 2008.10.09 -
Microsoft 1.4005 2008.10.09 -
NOD32 3506 2008.10.09 -
Norman 5.80.02 2008.10.08 -
Panda 9.0.0.4 2008.10.09 -
PCTools 4.4.2.0 2008.10.09 -
Prevx1 V2 2008.10.09 -
Rising 20.65.32.00 2008.10.09 -
SecureWeb-Gateway 6.7.6 2008.10.09 -
Sophos 4.34.0 2008.10.09 -
Sunbelt 3.1.1708.1 2008.10.09 -
Symantec 10 2008.10.09 -
TheHacker 6.3.1.0.103 2008.10.07 -
TrendMicro 8.700.0.1004 2008.10.09 -
VBA32 3.12.8.6 2008.10.09 -
ViRobot 2008.10.9.1414 2008.10.09 -
VirusBuster 4.5.11.0 2008.10.08 -
Additional information
File size: 2352 bytes
MD5...: 912f6281edfd79fd2d1647ef6f1293e3
SHA1..: 2d3d3421f2398d1d2581827f2e9ce8c8ff7ba885


개인적인 생각으로는 Kaspersky 진단명에서만 진단을 하는 것으로 보아 오진 가능성도 있지만 해당 진단명이 추가된지 일정 시간이 지났지만 계속 이 부분을 진단하는 것으로 보아 보안업체에서 확인이 필요해 보입니다.

많은 사용자가 사용하는 Kaspersky 제품과 Hotmail 서비스를 감안한다면 마이크로소프트사 또는 Kaspersky사에 이 부분에 대해 문의가 있지 않았을까 생각됩니다.

참고로 해당 진단이 이루어지는 광고 역시 해당 링크나 광고 배너 그림이나 정상적인 것으로 보아 오진이 아닐까 생각됩니다.
  • neoclub 2008.10.10 10:53 댓글주소 수정/삭제 댓글쓰기

    이거 지금도 발생하는거 같은데~
    오탐일까요~?

  • dkssud 2008.10.12 13:28 댓글주소 수정/삭제 댓글쓰기

    이 바이러스에 걸리면 포멧 해야 합니까?
    msn에서만 자꾸 오류 뜨네요..

    • 안철수연구소의 분석에 따르면 해당 부분을 진단하는 Kaspersky 업체의 진단 정책상의 진단이라고 합니다.

      특별히 컴퓨터에 문제를 일으키는 부분은 아닌 것 같습니다.

  • korea 2008.10.12 20:43 댓글주소 수정/삭제 댓글쓰기

    이바이러스를 없에려면 어떻게 해야돼요?
    백신프로그램으로 치료해도 계속 뜨는데요
    치료해도 또 뜨고 격리되고 없앨순 없나요?
    제 컴퓨터만 그러는 건가요? 아님 전체적으로 오류를
    일으키고 있는건가요..???

    • 제가 알기로는 컴퓨터 감염형 악성코드는 아닌 것으로 압니다.

      그리고 보안제품에서 해당 페이지에서 진단을 한다는 것은 차단을 했기에 문제가 없어 보입니다.

  • sky 2008.10.13 20:10 댓글주소 수정/삭제 댓글쓰기

    이거 컴터 해킹당하고 뭐 그런건 아니죠?
    msn에 워낙 스팸메일이 성행하고 있어서요
    해킹이랑은 관련없이 그냥 악성 코드에요?

  • roy 2008.10.15 11:18 댓글주소 수정/삭제 댓글쓰기

    live메일(=hotmail) 사용중인데.. 애네들꺼 쓰면 os건 서비스건 다 못믿겠음..
    오로지 마우스만 신뢰할뿐.. -_-

  • 2008.10.26 20:56 댓글주소 수정/삭제 댓글쓰기

    글쓰신분이 정확하게 아셨네요.
    재거 카스퍼스키 2009 사용자입니다.
    저도 그 배너에서 트로이목마를 죽였다고 Kaspersky 실시간에서 알려주었습니다.
    리포트를 보니까 탐지명은 역시 Trojan-Clocker.JS.Agent.br였습니다.
    개체는 http://rad.live.com/ASDAdClient31.dll?GetSAd=&DPJS=4&PG=SPAZ06&AP=1390//ADSAdClient31 이였습니다.
    역시 배너서버였군요. 저는 이에 대하여 마이크로소프트에 문의해볼것입니다.
    우째서 마이크로소프트에서 바이러스를 유포시킬수 있는지 따져볼 생각입니다.
    그리고 카스퍼스키의 오진 가능성도 알아보기위해 카스퍼스키 고객센터에다가 질문해놓았습니다. 오진여부를 확인해본다음에 다시 여기에 댓글남기겠습니다.

  • 2008.10.27 17:40 댓글주소 수정/삭제 댓글쓰기

    네. 감사합니다. 벌새님.