본문 바로가기

광고 배너

벌새::Analysis 2018. 4. 21. 16:27 구글 애드센스 광고 클릭 유도 목적으로 삽입된 JavsScript 코드를 이용한 납치 사례 (2018.4.21) 최근 국내 모 회사 홈 페이지에 악성 스크립트가 삽입되어 다른 사이트로 납치되어 구글 애드센스(Google AdSense) 광고 배너 클릭을 유도하는 사례가 확인되어 살펴보도록 하겠습니다. 문제의 사이트 메인 페이지 소스를 확인해보면 String.fromCharCode 함수를 사용하는 JavaScript가 포함되어 있는 것을 확인할 수 있으며, 해당 코드를 복호화해보면 .tk 도메인을 사용하는 웹 사이트로 연결하도록 구성되어 있음을 알 수 있습니다. 연결된 웹 페이지에서는 qwerty33= 쿠키값 체크를 통해 반복 접속을 차단하고 있으며 추가적인 페이지(r.php)로 연결하도록 설정되어 있습니다. 이후 연결된 페이지에서는 새로운 도메인을 가진 특정 .tk 페이지로 연결을 시도하도록 구성되어 있습니다. 다..
벌새::Analysis 2018. 1. 5. 21:03 구글 애드센스 광고 배너를 통해 유포되는 가상 화폐 채굴 악성코드 주의 (2018.1.5) 폭발적으로 증가하는 가상 화폐에 대한 관심과 투자에 따라 가상 화폐 채굴(Miner) 기능을 포함한 악성코드가 다양한 유포 방식으로 사용자 PC에 설치되는 부분에 대해 블로그를 통해 지속적으로 소개해 드리고 있습니다. 이미지 도용 법적 처벌 관련 첨부 파일(.egg)을 통한 가상 화폐 채굴용 악성코드 유포 주의 (2017.12.15) VirtualDVD 제휴 프로그램에 포함된 "BRTSvc version 1.0.0.0" 가상 화폐 채굴 프로그램 정보 (2017.12.23) KMSPico 정품 인증툴 설치 시 추가되는 가상 화폐 채굴 기능 주의 (2017.12.24) 이번에는 접속한 웹 사이트에서 쉽게 접할 수 있는 구글 애드센스(Google AdSense) 광고 배너를 통해 유포되는 가상 화폐 채굴 악성..
벌새::Analysis 2017. 10. 5. 15:39 freeurls 프로그램을 통해 자동 설치되는 "Windows Smart Search Support" 광고 프로그램 주의 (2017.10.5) 2016년 중반에 출현한 "Windows Smart Search" 광고 프로그램은 가상 환경 및 분석 환경을 체크한 후 정상 동작하여 사용자 몰래 다수의 광고성 웹 사이트 접속 행위 및 바로 가기 아이콘 생성과 같은 다양한 광고 행위를 수행하던 국내에서 제작된 광고 프로그램이었습니다. 당시 분석 정보가 공개된 이후 2016년 하반기경 유사한 광고 행위 수행을 위해 프로그램 이름은 "Windows Smart Search Support"으로 변경되었으며, 설치된 프로그램 폴더 위치와 파일명이 약간 변경되었습니다. 이번에 소개된 부분은 freeurls 프로그램(SHA-1 : 8d9a2a5fb3263df5ee2740ca97934fc61d7d8bfd - ESET : a variant of Win32/AdWare...
벌새::Analysis 2016. 12. 24. 15:21 검색 도우미 : uniz uninstall 특정 웹 사이트 접속 시 ActiveX 방식으로 배포되는 유니즈(uniz) 위젯 설치 시 해당 사이트 홍보 목적의 광고 배너를 포털 사이트 메인 페이지에 노출시키는 "uniz uninstall" 광고 프로그램에 대해 살펴보도록 하겠습니다. 이름 unizcontrol 게시자 Publicnet Co.,Ltd. 유형 ActiveX 컨트롤 CLSID {CAE5A89D-5A27-4F77-973E-B02069FB2152} 폴더 / 파일 C:\Windows\Downloaded Program Files\unizcontrol.dll 배포 방식을 살펴보면 특정 웹 사이트 접속 시 uniz 프로그램 설치를 유도하여 "Publicnet Co.,Ltd." 게시자가 포함된 unizcontrol ActiveX 컨트롤 설치가 진행될..
벌새::Analysis 2016. 12. 19. 22:20 포털 사이트 검색 영역에 광고를 노출하는 InnerLink 악성 광고 프로그램 주의 자동으로 광고창 생성 및 포털 사이트 검색 영역에 광고 배너를 생성할 수 있는 국내에서 제작된 InnerLink 광고 프로그램(SHA-1 : ba79fd99d82a876b21c4683806273aa9db2b2086 - BitDefender : Gen:Variant.Graftor.290338)에 대해 살펴보도록 하겠습니다. 해당 광고 프로그램은 설치 시 특정 추가 명령어(/Skip)가 추가되어야 정상적으로 설치되며, 특히 가상 환경, 네트워크 분석툴, 체크잇(CheckIt) 등의 분석 환경을 체크하여 핵심 파일 생성 및 실행 여부를 결정하도록 제작되어 있습니다. 생성 폴더 / 파일 등록 정보 C:\Users\%UserName%\AppData\Local\InnerLink C:\Users\%UserName%\..
벌새::Analysis 2016. 10. 10. 19:46 포털 사이트 메인에 광고 배너를 생성하는 DP_AD 광고 정보 국내 포털 사이트 메인 페이지 접속 시 좌측 사이드 영역에 알 수 없는 광고 배너를 생성하는 DP_AD 광고 배너에 대해 살펴보도록 하겠습니다. 배포 방식을 살펴보면 인터넷 쇼핑몰에서 제공하는 "EVENT COUPOON" ActiveX 설치 방식으로 설치될 수 있으며, 설치 과정에서 프로그램에 대한 이용약관을 전혀 제시하지 않습니다. 이름 DP_AGENT Control 게시자 (주) 다음사람 유형 ActiveX 컨트롤 CLSID {C09D855D-2263-4B1E-BFBA-9E73F9C0174D} 폴더 / 파일 C:\Windows\Downloaded Program Files\DP_AGENT.ocx 설치 완료 후 최초 실행 시 "C:\Windows\System32\DP_AD.exe" 178 (32비트) 또..
벌새::Analysis 2016. 9. 13. 21:15 광고 업체 서명이 포함된 던파스킨 프로그램과 광고 배너 (2016.9.13) 최근 던전앤파이터 커뮤니티 카페를 통해 배포가 이루어지고 있는 던파스킨 프로그램이 광고 업체와 연관된 부분이 있어 살펴보도록 하겠습니다. 동일한 매니저에 의해 운영되는 네이버(Naver) 카페 2곳에서는 던파스킨런처 프로그램 링크를 제공하고 있는데 URL 주소가 기존에 확인되고 있는 광고 업체와 연관된 것으로 보여서 조사를 진행하게 되었습니다. 다운로드된 던파스킨 설치 파일(SHA-1 : 3bcadca7f78ca93a2e656c0a7a92fd7b7d3ae1b6 - BitDefender : Gen:Variant.Adware.Graftor.1190)에는 "INDOIT Co., Ltd." 디지털 서명이 포함되어 있습니다. 검색 도우미 : IEsearchtool (2015.3.4) 검색 도우미 : winapp ..
벌새::Analysis 2016. 9. 3. 18:56 검색 도우미 : SalesUp uninstall 특정 웹사이트 접속 시 ActiveX 방식으로 설치를 유도하여 포털 사이트 메인 화면에 광고 배너를 생성할 수 있는 "SalesUp uninstall" 광고 프로그램에 대해 살펴보도록 하겠습니다. 검색 도우미 : wizbiz uninstall (2015.8.24) 참고로 SalesUp 광고 프로그램은 기존의 유사한 기능을 수행하는 wizbiz 광고 프로그램의 변종으로 확인되고 있습니다. 배포 방식을 살펴보면 특정 인터넷 쇼핑몰 접속 시 ActiveX 설치창을 통해 "DNUTT Inc" 게시자가 포함된 SalesUp 프로그램을 설치하도록 유도할 수 있습니다. 이름 SalesUpControl 게시자 DNUTT Inc 유형 ActiveX 컨트롤 CLSID {B69D3D38-EBC7-4528-8767-D2922..

티스토리툴바