http://wobzip.filetap.com/

웹기반의 압축해제 서비스

별것이 다나오내..

나는 불쾌한 "해보고광고" 라는 프로그램(애드웨어)

오늘 우연히 발견한 내컴퓨터에 설치된 해보고 광고 라는 프로그램

네이버 옆에 갑자기 안보이던 광고가 보이는데, 해보고 광고 라고 글씨가 써있었다

난 저런거 설치한적이 없는데... 갑자기 보인다.

클릭을 하니

http://www.hebogo.com/slink/loc.asp?site=http://weddingline.co.kr/event/event1/index.php?code=1199<클릭금지 걍 광고임>

로 갔다가

http://weddingline.co.kr/event/event1/index.php?code=1199<클릭금지 걍 광고임>

여기로 이동이 된다.

웨딩라인이라는 해당업체에서 광고의뢰를 해서 해보고 광고라는 것으로 해서
네이버 메인에 노출이 되었다. 마치 네이버에서 광고를 하는 것 처럼 말이다.

기분이 몹시 나쁘다.

네이버와 협력제휴를 한건 아닌것 같은데....

해당 사이트는 http://www.hebogo.com/ <클릭은 안하셔도됨> 이다.

홈페이지를 보니, 플레티늄 광고 라는 메뉴에 저 내용이 있더라

"포털사이트에서 광고하는것 처럼 색다른 광고" 라고 이야기를 하고 있다.

하지만, 매우 몹시 기분이 불쾌하다. 나는 원하지 않는데.. 왜 저것이 갑자기 보이는건가

프로세스 정보를 보니


평상시 보이지 않던 부분이 보이더라

물론 나는 설치한적이 없다. 설치할 일도 없을뿐더러

역시 기분이 몹시 나쁘다.

물론 새싹에 패턴으로 Adware로 등록을 하겠지만

해당 파일의 이미지 정보를 보니

C:\Program Files\Micronames\MicronamesP.exe

여기에 설치가 되어져있다.

파일이 총 3개가 있고, 언인스톨러를 포함한다. 법적인 규제를 회피하기 위해서

언인스톨러는 넣어둔것 같다.


프로세스상에 올라온 파일을 디버거로 잠시 보니

Text strings referenced in Micronam:.text, item 1504
 Address=004162ED
 Disassembly=MOV EDX,Micronam.00407504
 Text string=UNICODE "http://www.naver.com"
등과 같이 웹주소가 naver.com 일때 이용하기 위한 naver.com 주소가 있고

대략 어떠한 내용인지 한눈에 좀 보기 쉽도록, 디버거로 스트링관련된 내용만좀
살펴보니, 역시 이놈이 내가 웹브라우저를 사용할때 웹주소 url이
naver.com나 MS와 같은 포털 사이트 일경우, 자신들의 광고로 메인페이지 옆에
교묘하게 위치하게한다.


디버거로 본 해당 프로그램의 string 값들

그리고 보다보니

포털사이트에 대한 광고 프로그램으로 동작하기 위한 내용들이 있다.
UNICODE "/config/formactive.asp?u_id="
UNICODE "&url="
UNICODE "&keyword="
UNICODE "&keyno="
UNICODE "&admin="
UNICODE "&Click=N"
UNICODE "&user_id="
UNICODE "&gubun=PORTAL"

같은 사이트로 이동이 되지만, www.goldentech.co.kr 이라는 주소도 눈에 띤다

또한, 메세지후킹에 대한 부분도 있는데, 사용하는 메세지 플래그는

WH_MSGFILTER, WH_MOUSE, WH_KEYBOARD 3가지로

각각의 내용들은 아래와 같다.
1. WH_MSGFILTER는
특정 어플리케이션에서 만들어낸것들에 대해서 메뉴, 스크롤 바, 메시지 박스, 대화상자 등에 의해 처리되는 메시지와 사용자의 Alt+Tab키, Alt+Esc키 입력에 의한 포커스 이동도 감시하는 것

2. WH_MOUSE는
마우스 메시지를 감시하는 것

3. WH_KEYBOARD는
WM_KEYDOWN, WM_KEYUP 등의 키보드 메시지를 감시하는 것

참고로, 사용자의 아이디와 패스워드등도 가로채가는 일반적인 단순 키로거들에서도
사용되는 메세지플래그들이다.

하는 내용을 대충 일반 사용자가 알기 쉽게 표현한다면,

컴퓨터 주인인 사용자가 키보드로 입력하는 내용을 이놈의 프로그램 중간에서 가로채
가서 그 내용을 변조하고, 마우스 포인트 이동등에 대한 부분도 이놈의 프로그램이
맘대로 하면서, 현재 어디에 위치해있는가 정보도 알고 클릭같은것도 맘대로 하며
윈도우에서 사용되는 메뉴나 메세지 상자 및 각종 메뉴등에서 발생하는 모든 내용(사용자에 의해서 입력된 이벤트등)을 포함하여 지맘대로 변조가 가능한 것이다.

참고로 일부 보안 프로그램등에서도 위와 같은 메시지 후킹 플래그들도 사용하지만
게임아이디나 패스워드등을 가로채가는 키로깅 프로그램에서 특히 많이 보인다.

대략적으로 간단히 정리를 한다면

이 프로그램이 설치되고 사용자가 네이버주소를 치고 들어가면 해당 웹 페이지의
html 을 미리 분석해놓은 데이터를 기반으로 네이버 사이드에 위치한 광고부분에
자신들의 광고를 위치하고, 또는 메인 한가운데에 위치하는 광고등을 내보내는
방식이다. 아이디어는 상당히 좋아보인다 ㅎㅎ 나름 사용자를 배려한다고 한것이
알트탭으로 다른 창으로 전환시에는 해당 광고는 사라짐 ~
네이버에 광고비를 지불하지 않고 좀더 저렴한 비용으로 네이버에 광고하는 효과를
낼수있으니 광고주들의 입장으로썬 많이 이용할법도 하다.

하지만, 내가 어떤 경로로 설치가 되었는지 모르겠지만, 난 상당히 불편하며
프로그램을 삭제할 예정이지만 이런 프로그램을 사용자가 원해서 일부러 설치
할 이유는 없어보이며(툴바와 같이 도움이되는 부분이라면 모를까) 순수 광고모듈
이라면 일부러 애써 리소스를 잡아가며 설치 할 이유는 없다

어쨋든 어떤경로로든 설치가 강제로 되었던 것이고, 내가 웹서핑을 할 때 눈에
상당히 거슬렸다는 것이 다른 사람들에게도 문제가 되지 않았을까 싶다.

광고 방식이나 아이디어는 상당히 좋아보인다. 하지만 먼가 다른 방식으로 동의를
받고 설치를 했었으면 어떠했을가 싶다.

참고로 "해보고광고"를 하고있는 "마이크로네임즈" 라는 회사에 대한 악감정은 전혀 없으며, 의도적으로 비방할 생각은 없다. 광고와 마켓팅을 하는 회사로서 수단과 방법을 안가리고, 자신들의 마케팅 방법으로 광고하는건 자유이지만, 나는 원하지 않고 불편하므로 매우 불쾌하여 이런 포스팅을 남겨 봅니다.

통합 엔진 검사 사이트인 바이러스 스캔을 통해서 해당 파일을 알아 본 결과는

구체적으론 아니지만, 나름 의심들은 하고있는 파일인가 보다
국내에서 많이 사용하는 엔진들은 진단을 하지 못하고 있다.

자랑은 아니고 당연한 이야기 이지만 새싹 안티바이러스는 진단을 당연히 하겠지요?
왜냐하면 포스팅하기 하루전인 어제 패턴을 등록을 하였기 때문, 현재 사용자 업데이트는
서버 이전 관계로 아직 안함, 진단명은 Win32-Adware.hebogo 해보고

업데이트 서버 이전 완료 후 적용될 예정임, 혹은 마지막 베타인 Beta3 때부터 들어갈수도
있고

윽, 잠시 포스팅중 메일을 보기위해서 네이버 접속을 했건만..

가운데 보이는 해당프로그램을 통한 광고..ㅜㅜ


네이버에서 저런 광고를 하던가? 물론 아니다. 난 저 광고 대신 뉴스 요약을 보고싶다.
물론 위 광고는 계속 나오는 것이 아니고 우측 상단에 나오는 광고가 안 나올때 가운데
부분이 나오며, 약 5초간 노출이 되고 사라지더라

아직, 삭제를 하지 않았지만, 어느 순간부터 컴퓨터 종료시 멈춤 현상이 있었는데,
이것을 삭제하고 만약 멈춤 현상이 없어지면 그 내용을 업데이트 하도록 하겠다.

두통때문에 잠이 안와서 새벽에 컴퓨터 하다가 어쩌다보니 이렇게 포스팅을 하였는데
포스팅을 하고 나니 두통이 없어져서 너무나 좋군요, 에헤라디히야~

프로세스상에서 해보고광고를 지운 후로 아주 깔끔한 네이버를 즐길수 있으며
편안한 나의 웹브라우져!!

저옆에 보라색 카메라는 원래 네이버에서 광고하는 것임 ㅎㅎ

참고) 해보고에서 제공하는 삭제 프로그램

혹은 프로그램 추가/삭제 메뉴에서도 볼수있음 <삭제를 원한다면>

세인트시큐리티 CEO 김기홍이랑 만비씨(10000BC)를 보러가려고 마음을 먹고
미리 내가 알아보고있던중

지인들에게 물어보았다. 그 중 제일 처음 물어본 형과의 대화 내용이다.
영화전문가 형님과의 대화~
--------------------------------------------------------------
나: "형~ 만비씨 어때요?"

형: "응 그거 큰 호랑이 있지~ 그게 다여~ 한참기다렸는데 잠깐 호랑이 나오고 말어"

나 : "스토리나 머 그런거 다른거 잼있는거 없어요?"

형 : "응~ 조낸 30분걷다가, 메머드좀 나오고 호랑이 나오고 하면 끝이여"

나: "억.. 네 알겟습니다."
-------------------------------------------------------------

결론, 조낸 재미없는 영화란다.

안보러갈거고,, 요즘 나오는 국내영화들이 훨씬 잼이있는데, 숙명인가

그걸 보러가야겠음

이 영화의 전부라고 할수있는 장면들..

무료영화티켓으로 봐도 아까운 영화! 만 비 씨!


참고로 중부선 클럽에 올라온 만비씨의 리뷰/후기/감상평등에 관한 내용이 있어서
첨부한다.



윽...

상쾌한 아침으로 부터의 출발..

무엇인가 대단한 일들이 벌어질것만 같은 4월첫째주

지난 금요일 밤부터 일요일까지 컨디션 유지를 잘했음.

상큼한 레몬과 같은 날씨...

와사비색의 풋사과와 같은 색깔의 날씨...

가슴을 찢어서 상쾌한 바람을 내 가슴속으로 강제 흡입시키고 싶은 날씨..

내 심장에 과급기를 달아볼까나?

동생놈하고 나하고 열심히 뛸 테니 일이 잘되었으면 한다.

해야할일들도 많은데, 천천히 한가지씩 풀어나가야겠음

서버 정상화 부터하고 새싹 뉴사이트 오픈개시 꼭 할것임

MS08-014 취약점 관련된 내용

개인적으로 관심이있는 부분이므로 기록겸해서 남겨놓음.

해당 내용은 정식버전을 사용하면서 최신패치를 유지하고 쓴다면 현재로써
큰 영향은 없겠지만, 앞으로도 이러한 취약점은 계속 나올것이다.

왜냐하면, 이미 예전부터 오피스관련 코드실행 취약점은 계속나오고있으니까

굳이 길게 설명하지 않고,

엑셀 최신버전은 엑셀 2007로 확인을 해보도록 하겠다.

개인 블로그 이므로, 상세한 기술 내용 서술은 삼가하도록 하겠다.




exploit 으로 계산기 프로그램(실행가능한 exe 파일 대체용)을 엑셀 파일에 심고선
실행을 한다.

실행하면, 엑셀파일을 열면서 심어져있던 계산기 프로그램을 시작함


대략 이런 스토리 이다.

얼마전 3월 12일 긴급패치가 필요한 정보로 나온적이 있으며,

MS 제품군으로

MS08-014 엑셀
MS08-015 아웃룩
MS08-016 MS오피스군
MS08-017 MS오피스 웹 컴퍼넌트
위에 대한 취약점들이 모두 원격코드실행이므로 최신버전의 MS오피스군으로
유지하고 있어야한다.

가상시나리오)
어떤 악의적인 사용자가 excel 파일에 사람들이 보길원하는 중요한 데이터를 담아서
공유사이트에 오픈을 한다. excel 파일은 모 대기업의 연봉제공 정보와 채용시 가산점을
보여하는 정도의 내용들이라고 한다. 그럼 사람들은 그 파일을 다운받아서 내용을
보려고 실행할 것이다. 이때, 그것을 본사람들은 DDoS 에이전트와 파일 다운로더 및 루트킷 역할을 하는 파일들이 설치가 되도록 하는 downloader 프로그램을 하나 심어놓은것
이다. 엑셀파일을 오픈하면서 자신의 컴퓨터에는 이상한 프로그램들이 마구 깔리는것
방화벽이 있는 회사의 내부 시스템이라 할지라도, 익스플로러를 통한 outbound는 신뢰하는
통신으로 인지하여 안심하고 파일을 다운로드되어 사내에 정보들이 외부로 유출이 되는
사태가 발생까지 되었다.

위 내용은 가상 시나리오이지만 충분히 가능한 이야기다.

여기서 다루는 MS08-014 취약점의 경우
엑셀 2000, 2002, 2003, 2007 까지 영향을 받는 취약점이므로 반드시 패치하길 권장한다

난 순대국밥의 지존이다.

정말로 누구보다 순대국밥을 많이 먹는 타입임..

순대국밥집을 추천한다면,

늦은밤은 청담동 신의주 순대국밥

점심 혹은 초저녁에 먹는다면 박서방 순대국밥

걸죽하게 평양식 순대와 국밥을 즐기고싶다면, 평양순대국밥

정말로 추천하는 순대국밥집 트리오!!

순대국밥은 맛있게 먹으려면 요리를 잘해야한다.

간을 맞출때 소금대신에 멸치젓으로 반드시 해야하고

깍두기 국물로 깊은맛의 강도를 조절해야한다. 깍두기국물 필수임

때에 따라서 김을 달라고해서 부셔서 넣으면 더 정갈하게 먹을수가 있다.

매콤한 맛을 좋아한다면 다대기를 추가로 달라고 해서 입맛에 맞추어 먹으면

좋다. 이때 다대기는 모든양념이 다되고 매콤한맛등을 조절하기위해서 마지막에

사용을 한다.

금액도 저렴하고 , 순대국밥은 정말로 내가 좋아하는 음식중에 하나이며

자주 먹는 음식중에 하나이다.

1) 신의주 순대국밥 : 청담동 리베라 호텔에서 청담역 방면으로 가다보면 복어그림이
                             있고, 복집 간판이 있는 곳의 검정색 인테리어로된 곳임 1층
                             발레파킹 가능함, 주차장 좋음

2) 박서방 순대국밥 : 필히 2인이 가서 정식을 시켜먹는것을 권한다. 이집의 경우 김부셔서
                             넣는거 필수임, 순대가 하얀색 스타일의 순대이며, 일본친구의 경우
                             1번 신의주 순대국밥보다 이곳이 더 낳다고함, 국밥은 꼭 따로국밥
                             으로 달라고 해야 더 맛있게 먹는다 개인적으로 말아져있는 밥은
                             별로라는 생각이..
                             이곳은 주차장이 좀 불편하고, 도로가에 주차하면 카메라가 보고
                             있다. 이점 참고해야함

3) 평양순대국 : 방이4거리에서 송파구청 방면으로 가는길에 사거리 지나자마자 유턴
                      그곳에 평양순대국이 보인다. 걸죽하게 먹는 스타일을 좋아한다면
                      이곳을 매우 추천함. 발레파킹 가능하고, 주차장 나름 괜찮음


개인적으로 많이 가는 순위는 1번 2번 3번 순위임.


p.s) 어디 아주 맛있는 순대국밥집 알고 계신다면 추천좀 부탁드립니다. 꼭가서 먹어보고
      싶군요..

어릴적 추억...

그리고 고속버스를 타고 다닐때의 추억...

고속도로를 타면 먹을만한 아이템의 추억..

역시 호도과자..

서울 시내에서 파는 것들은 모두 호도형 과자다. 호도모양의 과자

호도인가 호두인가 ㅎㅎ 아무튼 네이버검색은 나중에 하고

호도과자는 정말로 맛있다.

호도모양에 실제로 호도가 짤라져서 들어가있고, 따끈한 호도과자의 경우

따근한 팥앙금과 함께 입안에서 도는 달콤함은 일품이다.

저렴한 비용으로 행복을 느낄수있는 아이템 하나..

호도과자..

흥미로운 해킹대회 스타일의 컨셉?

제로데이 취약점을 찾는자에게 20000달러의 상금을 주는 스타일의 해킹대회가
있다.

Cansec 컨퍼런스라는 컨퍼런스에서 하는것으로

첫번째, 순수 OS에 모든 패치를 다하고 그 시스템에 대한 취약점을 찾으면 20000달러
두번째, 첫번째 단계에 + 자체내장된 어플리케이션을 포함한 내용의 취약점을 찾으면
           10000달러 , 이때 외부의 서버등에 접속시켜서 실행되는 코드등의 취약점도
           포함이됨
세번째, 두번째까지에다가 다른 어플리케이션을 설치해서 취약점을 찾으면 5000달러
     
위와 같은 내용으로 해킹대회를 진행한다.

우리 와우해커에서도 위와 같은 스타일의 대회를 이벤트 옵션으로 개최를 해봐야겠다
하지만, 국내에서 개최했을때 과연 제로데이가 얼마나 많이 나올런지는 예측불가

해당 대회는 벤더에게 먼저 취약점과 그 해결책을 제시해야야하고, 그때까지
대외적으로 공개는 할수가 없다. 그리고 해당 시스템은 대회를 하고 수상자에게
준다고 한다.

올해는 특히 맥북에어를 이용한 사파리 자체 취약점으로 원격코드가 실행되도록
한 내용등으로 2분만에 했다라는 내용이 있는데, 이 부분은 미리 알고있는 취약점
을 들고가서 한듯싶은 생각이 없지않다.

국내 그룹에서 출전한다면, 사실 미리준비하지 않은 이상 1단계(순수 OS 자체에 최신 패치에 최신업그레이드)에서 취약점을 당일날가서 바로하기는 좀 어려울듯싶고

2단계부터는 매우 많은 취약점들을 찾아낼것같다. 추후 와우해커에서 cansec 2009에
한번 나가서 stage2~ stage3를 공략해보는 기회를 마련하는 것도 좋은 그림이
될 것 같다.

위 대회를 위해서는 사전에 준비도 물론 필요하고, 제로데이 취약점을 찾는 부분이므로
상당한 집중과 노력이 필요할듯..

지금 하는 워게임스타일의 해킹대회도 어렵고, 데프콘에서도 워게임스타일로 진행을
한다. 하지만 cansec 과 같은 대회도 신선한 소재가 되며 즐거움을 선사하지 않을까
싶다.

cansec 2008 , 한국에서도 기필코 저런 스타일의 해킹 이벤트를 만드리라.


관련기사 :

http://www.hankyung.com/news/app/newsview.php?aid=2008033057891