본문 바로가기

벌새::Analysis

악성코드 유포 - Hotmail 서비스 광고 배너 (2)

반응형

10월 7일 언급한 Hotmail 서비스의 특정 광고 배너로 인한 악성코드에 대한 글을 작성하였었습니다.

해당 글을 작성 당시 유포되던 샘플 확보에 실패하여 당시에는 자세한 정보를 기록하지 못하였는데 모연구소에서 해당 샘플을 문의를 하여 이번에는 다른 방식으로 접근을 하여 샘플을 확보하는데 성공하였습니다.

이전과 달리 이번에는 F-Secure 제품의 Web Traffic Scanning 방식으로 해당 악성코드가 어떤 경로로 진단을 하는지 파일 단위가 아닌 경로 단위로 추적을 해 보았습니다.

먼저 현재 Hotmail의 광고 배너는 다음과 같은 서버를 이용하는 것으로 보입니다.

[Hotmail 광고 서버]

http://rad.live.com/*********
http://a.rad.live.com/*********
http://b.rad.live.com/*********

이 외에도 더 있을 것으로 보입니다.

위의 Web Traffic Scanning에서는 첫 번째 진단 경로와 두 번째 진단 경로가 서로 다른 서버에서 동일 시간대에 무작위로 진단되는 것을 확인할 수 있었습니다.

분명한 부분은 해당 진단이 출력될 때마다 Hotmail의 광고 배너가 구현되지 않는 점을 통해 특정 광고 배너 또는 광고 서버상의 문제로 추정하게 되었습니다.

F-Secure의 Web Traffic Scanning 진단 경로명이 일부 짤리는 것으로 인해 정확한 경로명을 확인하기 위해 Microsoft Internet Explorer 8 베타 버전에서 제공하는 개발자 도구를 통해 해당 웹 사이트의 소스를 정확하게 살펴보기로 하였습니다.

해당 진단 경로는 광고 배너(Advertisement)에서 링크된 경로임을 재확인할 수 있었습니다.

하지만 실제 해당 경로를 다운로드하여 VirusTotal에서 검사를 하면 어떤 보안제품도 진단하지 않습니다.

그래서 이번에는 해당 광고 서버 경로를 이용하여 무작위로 새로고침 방식으로 refresh를 하여 진단이 되는 부분을 찾기로 하였습니다.

여기에서 제시되는 광고 서버 경로는 위에서 제시한 어떤 서버에서나 동일한 결과를 얻을 수 있습니다.

실제로 새로고침 과정에서 Kaspersky 진단명 Trojan-Clicker.JS.Agent.br 을 확인할 수 있었습니다.

이번에는 샘플을 확보하기 위하여 사용 중인 F-Secure 제품을 OFF한 상태에서 이 과정을 반복하여 임시로 받아진 Cache 파일 중에서 해당 진단명을 가진 악성코드를 추출할 수 있었습니다.

Antivirus Version Last Update Result
AhnLab-V3 2008.10.9.3 2008.10.09 -
AntiVir 7.8.1.34 2008.10.09 -
Authentium 5.1.0.4 2008.10.09 -
Avast 4.8.1248.0 2008.10.09 -
AVG 8.0.0.161 2008.10.09 -
BitDefender 7.2 2008.10.09 -
CAT-QuickHeal 9.50 2008.10.08 -
ClamAV 0.93.1 2008.10.09 -
DrWeb 4.44.0.09170 2008.10.09 -
eSafe 7.0.17.0 2008.10.08 -
eTrust-Vet 31.6.6137 2008.10.09 -
Ewido 4.0 2008.10.09 -
F-Prot 4.4.4.56 2008.10.08 -
F-Secure 8.0.14332.0 2008.10.09 Trojan-Clicker.JS.Agent.br
Fortinet 3.113.0.0 2008.10.09 -
GData 19 2008.10.09 -
Ikarus T3.1.1.34.0 2008.10.09 -
K7AntiVirus 7.10.489 2008.10.09 -
Kaspersky 7.0.0.125 2008.10.09 Trojan-Clicker.JS.Agent.br
McAfee 5401 2008.10.09 -
Microsoft 1.4005 2008.10.09 -
NOD32 3506 2008.10.09 -
Norman 5.80.02 2008.10.08 -
Panda 9.0.0.4 2008.10.09 -
PCTools 4.4.2.0 2008.10.09 -
Prevx1 V2 2008.10.09 -
Rising 20.65.32.00 2008.10.09 -
SecureWeb-Gateway 6.7.6 2008.10.09 -
Sophos 4.34.0 2008.10.09 -
Sunbelt 3.1.1708.1 2008.10.09 -
Symantec 10 2008.10.09 -
TheHacker 6.3.1.0.103 2008.10.07 -
TrendMicro 8.700.0.1004 2008.10.09 -
VBA32 3.12.8.6 2008.10.09 -
ViRobot 2008.10.9.1414 2008.10.09 -
VirusBuster 4.5.11.0 2008.10.08 -
Additional information
File size: 2352 bytes
MD5...: 912f6281edfd79fd2d1647ef6f1293e3
SHA1..: 2d3d3421f2398d1d2581827f2e9ce8c8ff7ba885


개인적인 생각으로는 Kaspersky 진단명에서만 진단을 하는 것으로 보아 오진 가능성도 있지만 해당 진단명이 추가된지 일정 시간이 지났지만 계속 이 부분을 진단하는 것으로 보아 보안업체에서 확인이 필요해 보입니다.

많은 사용자가 사용하는 Kaspersky 제품과 Hotmail 서비스를 감안한다면 마이크로소프트사 또는 Kaspersky사에 이 부분에 대해 문의가 있지 않았을까 생각됩니다.

참고로 해당 진단이 이루어지는 광고 역시 해당 링크나 광고 배너 그림이나 정상적인 것으로 보아 오진이 아닐까 생각됩니다.
728x90
반응형