벌새::Analysis
2010. 12. 7. 20:44
pe.kr 도메인을 이용한 웹하드 광고 악성 스크립트 tuga.js 주의 (2010.12.7)
국내 인터넷 상에서 언제부터인지 pe.kr 도메인을 이용한 광고 행위가 증가하고 있으며, 특히 포털 사이트 검색에서 상위에 위치하거나 대량으로 등록하여 노출을 증가시키는 방식으로 웹하드 등 금전적 목적으로 이용되는 것을 확인할 수 있습니다. 특히 근래에는 해당 광고에 사용되는 tuga.js 스크립트 파일에 대해 일부 해외 보안 제품에서 악성코드로 진단하는 부분을 확인하였기에 전체적인 흐름을 살펴보도록 하겠습니다. 인터넷 사용자가 네이버(Naver)와 같은 검색을 통해 특정 검색어를 입력할 경우 블로그 영역의 최상단에 그림과 같은 4개의 결과 중 2개가 pe.kr 도메인을 포함한 내용이 노출이 되며, 해당 검색 내용은 의미가 없는 내용으로 구성되어 있는 것을 확인할 수 있습니다. [테스트 연결 URL 정보..