애드젯(ADget), 광고위젯을 통한 악성코드 유포 주의!!

예전에 애드젯의 광고위젯을 통해 악성코드가 유포 된 적이 있었다.

애드젯(ADget), 광고위젯을 통한 악성코드 유포 공지

이 당시에는 특정 배너를 불러오는 URL에 악성스크립트가 포함되어 있었지만, 이번에는 조금 틀린 방법을 사용한듯 하다.
(내가 웹취약점 전문가가 아니기 때문에 어떤식으로 삽입했는지는 모른다)

아래의 그림은 예전에 유포했었던 파일이 코드내용이다.
빨간색 박스내용처럼 난독화 된 코드가 있어서 자동으로 악성 URL로 넘어가게 됬었다.

하지만, 이번 유포를 보게되면 아래와 같다.
코드가 없다;; 정상적인 내용만 존재한다.

그럼 이 페이지는 정상인건가? 정말 그럴까??

기대도 안했지만 역시나~ 절대 그렇지 않았다!!

위의 그림에서 마지막에 있는 iframe을 태그를 통해 pub, w, h, en, opt, ref, testpid 파라미터값을 모두 확인 후에 연결되는 페이지에
악성코드가 삽입되어 있었다.
 

삽입 된 스크립트를 통해 아래와 같은 추가적인 코드들이 로드된다.

http://news.*************:8080/c.gif

http://news.*************:8080/my.html?adget

http://news.*************:8080/java.html

http://news.*************:8080/fun.jar

http://news.*************:8080/java.png

그나마 다행이라고 해야하나? 자바취약점을 이용한 코드밖에 없었다. ㅋㅋㅋㅋ

<참고사항> 
- 자바(JRE) 다운로드 사이트 :  http://java.com/ko/download/manual.jsp 

java.html 스크립트가 실행되면서, "fun.jar" 파일이 다운로드 되고 실행 할  악성파일의 URL을 "data" 값에 저장한다.

그리고 "ScriptEngineExp.class" 클래스가 실행되면서 "data"에 저장 되었던 악성코드 URL을 다운로드 하여 실행시킨다.

이렇게 생성 된 temp.exe가 실행되면, 아래와 같은 파일이 생성되며 결론적으로 "ws2help.dll" 정상파일이 변조 된다.

C:\WINDOWS\system32\vcapi.exe  (특정 서버에서 txt 파일을 다운로드 후, 복호화를 통해 특정 파일을 다운로드)
 ㄴ다운로드 : www.s***.co.kr/adget_log/log2011****.txt
<위의 txt 파일의 난독화는 "악성파일 다운로드의 새로운 URL 암호화 방식" 포스팅을 참고하면 된다!!>

C:\WINDOWS\system32\ws2help.dll (온라인게임 및 개인정보를 가로채는 스파이웨어)
C:\WINDOWS\system32\ws2helpXP.dll  (정상 ws2help.dll 백업파일)
C:\WINDOWS\system32\ws2help.dll.Ur2.tmp  (정상 ws2help.dll 백업파일) 
C:\WINDOWS\system32\drivers\kill.sys (보안프로그램 종료 드라이브 - Ahnlab, ALYac)

이번 포스팅의 요점은 광고 위젯을 통한 유포가 심각함이다.
제작자들은 점점 하늘로 승천하고 있는데, 웹 담당자 및 해당 업체들은 그러든지 말든지...!!
답답할 따름이다.