벌새::Analysis
2009. 5. 27. 14:43
Adware.EGSPlayer.256304 (Hauri)
국내 특정 ActiveX 유포를 위해 제작된 웹 사이트를 방문할 경우 이미 2007년 6월경에 발견된 악성코드와 관련하여 설치를 하려는 시도가 여전히 발견되는 곳이 있습니다. 해당 dnegsearchProj1.ocx 설치 컨트롤러의 경우 게시자가 알 수 없기에 윈도우에서 기본적으로 차단을 하고 있으며, 실제 인증서의 유효 기간이 만료가 된 것을 확인할 수 있습니다. 해당 코드의 유포 소스를 확인해보면 국내 특정 도메인을 확인할 수 있으며 해당 사이트로 연결을 시도해 보았습니다. 실제 배포 서버는 실제 존재하며 접속이 잘 되지만, 위와 같이 마치 구현되는 내용이 없기에 도메인을 찾을 수 없다는 메시지를 통해 존재하지 않는 것처럼 위장을 하고 있습니다. 해당 사이트 도메인을 통해 등록 정보를 확인해보면 ..