벌새::Analysis
2010. 6. 13. 14:53
보안인증 ActiveX 설치를 이용한 SXGuide 유포 주의 (2010.6.13)
올해 2월경부터 국내 특정 단축 URL(Short URL)을 통해 인터넷 사이트에 접속할 경우 보안인증 ActiveX 설치창(Yooseung Development)을 생성하는 동작을 확인할 수 있었습니다. 무료 도메인을 경유한 네이버 카페 접속시 악성코드 유포 행위 (2010.3.8)당시 해당 ActiveX 설치 Classid 관련값은 2종류로 확인이 되었으며 국내 보안 업체에서는 JuneIP라는 이름으로 국내 애드웨어(Adware) 설치를 유도하는 것으로 알려지게 됩니다. 그런데 최근에 새로운 도메인을 이용하여 유사한 방식으로 유포가 이루어지고 있는 것을 재확인하였으며, 좀 더 세부적인 내용을 분석하여 공개해 보겠습니다. 기본적으로 해당 보안인증 ActiveX 설치창은 단축 URL가 연결하는 사이트가 ..