나는 불쾌한 "해보고광고" 라는 프로그램(애드웨어)

오늘 우연히 발견한 내컴퓨터에 설치된 해보고 광고 라는 프로그램

네이버 옆에 갑자기 안보이던 광고가 보이는데, 해보고 광고 라고 글씨가 써있었다

난 저런거 설치한적이 없는데... 갑자기 보인다.

클릭을 하니

http://www.hebogo.com/slink/loc.asp?site=http://weddingline.co.kr/event/event1/index.php?code=1199<클릭금지 걍 광고임>

로 갔다가

http://weddingline.co.kr/event/event1/index.php?code=1199<클릭금지 걍 광고임>

여기로 이동이 된다.

웨딩라인이라는 해당업체에서 광고의뢰를 해서 해보고 광고라는 것으로 해서
네이버 메인에 노출이 되었다. 마치 네이버에서 광고를 하는 것 처럼 말이다.

기분이 몹시 나쁘다.

네이버와 협력제휴를 한건 아닌것 같은데....

해당 사이트는 http://www.hebogo.com/ <클릭은 안하셔도됨> 이다.

홈페이지를 보니, 플레티늄 광고 라는 메뉴에 저 내용이 있더라

"포털사이트에서 광고하는것 처럼 색다른 광고" 라고 이야기를 하고 있다.

하지만, 매우 몹시 기분이 불쾌하다. 나는 원하지 않는데.. 왜 저것이 갑자기 보이는건가

프로세스 정보를 보니


평상시 보이지 않던 부분이 보이더라

물론 나는 설치한적이 없다. 설치할 일도 없을뿐더러

역시 기분이 몹시 나쁘다.

물론 새싹에 패턴으로 Adware로 등록을 하겠지만

해당 파일의 이미지 정보를 보니

C:\Program Files\Micronames\MicronamesP.exe

여기에 설치가 되어져있다.

파일이 총 3개가 있고, 언인스톨러를 포함한다. 법적인 규제를 회피하기 위해서

언인스톨러는 넣어둔것 같다.


프로세스상에 올라온 파일을 디버거로 잠시 보니

Text strings referenced in Micronam:.text, item 1504
 Address=004162ED
 Disassembly=MOV EDX,Micronam.00407504
 Text string=UNICODE "http://www.naver.com"
등과 같이 웹주소가 naver.com 일때 이용하기 위한 naver.com 주소가 있고

대략 어떠한 내용인지 한눈에 좀 보기 쉽도록, 디버거로 스트링관련된 내용만좀
살펴보니, 역시 이놈이 내가 웹브라우저를 사용할때 웹주소 url이
naver.com나 MS와 같은 포털 사이트 일경우, 자신들의 광고로 메인페이지 옆에
교묘하게 위치하게한다.


디버거로 본 해당 프로그램의 string 값들

그리고 보다보니

포털사이트에 대한 광고 프로그램으로 동작하기 위한 내용들이 있다.
UNICODE "/config/formactive.asp?u_id="
UNICODE "&url="
UNICODE "&keyword="
UNICODE "&keyno="
UNICODE "&admin="
UNICODE "&Click=N"
UNICODE "&user_id="
UNICODE "&gubun=PORTAL"

같은 사이트로 이동이 되지만, www.goldentech.co.kr 이라는 주소도 눈에 띤다

또한, 메세지후킹에 대한 부분도 있는데, 사용하는 메세지 플래그는

WH_MSGFILTER, WH_MOUSE, WH_KEYBOARD 3가지로

각각의 내용들은 아래와 같다.
1. WH_MSGFILTER는
특정 어플리케이션에서 만들어낸것들에 대해서 메뉴, 스크롤 바, 메시지 박스, 대화상자 등에 의해 처리되는 메시지와 사용자의 Alt+Tab키, Alt+Esc키 입력에 의한 포커스 이동도 감시하는 것

2. WH_MOUSE는
마우스 메시지를 감시하는 것

3. WH_KEYBOARD는
WM_KEYDOWN, WM_KEYUP 등의 키보드 메시지를 감시하는 것

참고로, 사용자의 아이디와 패스워드등도 가로채가는 일반적인 단순 키로거들에서도
사용되는 메세지플래그들이다.

하는 내용을 대충 일반 사용자가 알기 쉽게 표현한다면,

컴퓨터 주인인 사용자가 키보드로 입력하는 내용을 이놈의 프로그램 중간에서 가로채
가서 그 내용을 변조하고, 마우스 포인트 이동등에 대한 부분도 이놈의 프로그램이
맘대로 하면서, 현재 어디에 위치해있는가 정보도 알고 클릭같은것도 맘대로 하며
윈도우에서 사용되는 메뉴나 메세지 상자 및 각종 메뉴등에서 발생하는 모든 내용(사용자에 의해서 입력된 이벤트등)을 포함하여 지맘대로 변조가 가능한 것이다.

참고로 일부 보안 프로그램등에서도 위와 같은 메시지 후킹 플래그들도 사용하지만
게임아이디나 패스워드등을 가로채가는 키로깅 프로그램에서 특히 많이 보인다.

대략적으로 간단히 정리를 한다면

이 프로그램이 설치되고 사용자가 네이버주소를 치고 들어가면 해당 웹 페이지의
html 을 미리 분석해놓은 데이터를 기반으로 네이버 사이드에 위치한 광고부분에
자신들의 광고를 위치하고, 또는 메인 한가운데에 위치하는 광고등을 내보내는
방식이다. 아이디어는 상당히 좋아보인다 ㅎㅎ 나름 사용자를 배려한다고 한것이
알트탭으로 다른 창으로 전환시에는 해당 광고는 사라짐 ~
네이버에 광고비를 지불하지 않고 좀더 저렴한 비용으로 네이버에 광고하는 효과를
낼수있으니 광고주들의 입장으로썬 많이 이용할법도 하다.

하지만, 내가 어떤 경로로 설치가 되었는지 모르겠지만, 난 상당히 불편하며
프로그램을 삭제할 예정이지만 이런 프로그램을 사용자가 원해서 일부러 설치
할 이유는 없어보이며(툴바와 같이 도움이되는 부분이라면 모를까) 순수 광고모듈
이라면 일부러 애써 리소스를 잡아가며 설치 할 이유는 없다

어쨋든 어떤경로로든 설치가 강제로 되었던 것이고, 내가 웹서핑을 할 때 눈에
상당히 거슬렸다는 것이 다른 사람들에게도 문제가 되지 않았을까 싶다.

광고 방식이나 아이디어는 상당히 좋아보인다. 하지만 먼가 다른 방식으로 동의를
받고 설치를 했었으면 어떠했을가 싶다.

참고로 "해보고광고"를 하고있는 "마이크로네임즈" 라는 회사에 대한 악감정은 전혀 없으며, 의도적으로 비방할 생각은 없다. 광고와 마켓팅을 하는 회사로서 수단과 방법을 안가리고, 자신들의 마케팅 방법으로 광고하는건 자유이지만, 나는 원하지 않고 불편하므로 매우 불쾌하여 이런 포스팅을 남겨 봅니다.

통합 엔진 검사 사이트인 바이러스 스캔을 통해서 해당 파일을 알아 본 결과는

구체적으론 아니지만, 나름 의심들은 하고있는 파일인가 보다
국내에서 많이 사용하는 엔진들은 진단을 하지 못하고 있다.

자랑은 아니고 당연한 이야기 이지만 새싹 안티바이러스는 진단을 당연히 하겠지요?
왜냐하면 포스팅하기 하루전인 어제 패턴을 등록을 하였기 때문, 현재 사용자 업데이트는
서버 이전 관계로 아직 안함, 진단명은 Win32-Adware.hebogo 해보고

업데이트 서버 이전 완료 후 적용될 예정임, 혹은 마지막 베타인 Beta3 때부터 들어갈수도
있고

윽, 잠시 포스팅중 메일을 보기위해서 네이버 접속을 했건만..

가운데 보이는 해당프로그램을 통한 광고..ㅜㅜ


네이버에서 저런 광고를 하던가? 물론 아니다. 난 저 광고 대신 뉴스 요약을 보고싶다.
물론 위 광고는 계속 나오는 것이 아니고 우측 상단에 나오는 광고가 안 나올때 가운데
부분이 나오며, 약 5초간 노출이 되고 사라지더라

아직, 삭제를 하지 않았지만, 어느 순간부터 컴퓨터 종료시 멈춤 현상이 있었는데,
이것을 삭제하고 만약 멈춤 현상이 없어지면 그 내용을 업데이트 하도록 하겠다.

두통때문에 잠이 안와서 새벽에 컴퓨터 하다가 어쩌다보니 이렇게 포스팅을 하였는데
포스팅을 하고 나니 두통이 없어져서 너무나 좋군요, 에헤라디히야~

프로세스상에서 해보고광고를 지운 후로 아주 깔끔한 네이버를 즐길수 있으며
편안한 나의 웹브라우져!!

저옆에 보라색 카메라는 원래 네이버에서 광고하는 것임 ㅎㅎ

참고) 해보고에서 제공하는 삭제 프로그램

혹은 프로그램 추가/삭제 메뉴에서도 볼수있음 <삭제를 원한다면>

MS08-014 취약점 관련된 내용

개인적으로 관심이있는 부분이므로 기록겸해서 남겨놓음.

해당 내용은 정식버전을 사용하면서 최신패치를 유지하고 쓴다면 현재로써
큰 영향은 없겠지만, 앞으로도 이러한 취약점은 계속 나올것이다.

왜냐하면, 이미 예전부터 오피스관련 코드실행 취약점은 계속나오고있으니까

굳이 길게 설명하지 않고,

엑셀 최신버전은 엑셀 2007로 확인을 해보도록 하겠다.

개인 블로그 이므로, 상세한 기술 내용 서술은 삼가하도록 하겠다.




exploit 으로 계산기 프로그램(실행가능한 exe 파일 대체용)을 엑셀 파일에 심고선
실행을 한다.

실행하면, 엑셀파일을 열면서 심어져있던 계산기 프로그램을 시작함


대략 이런 스토리 이다.

얼마전 3월 12일 긴급패치가 필요한 정보로 나온적이 있으며,

MS 제품군으로

MS08-014 엑셀
MS08-015 아웃룩
MS08-016 MS오피스군
MS08-017 MS오피스 웹 컴퍼넌트
위에 대한 취약점들이 모두 원격코드실행이므로 최신버전의 MS오피스군으로
유지하고 있어야한다.

가상시나리오)
어떤 악의적인 사용자가 excel 파일에 사람들이 보길원하는 중요한 데이터를 담아서
공유사이트에 오픈을 한다. excel 파일은 모 대기업의 연봉제공 정보와 채용시 가산점을
보여하는 정도의 내용들이라고 한다. 그럼 사람들은 그 파일을 다운받아서 내용을
보려고 실행할 것이다. 이때, 그것을 본사람들은 DDoS 에이전트와 파일 다운로더 및 루트킷 역할을 하는 파일들이 설치가 되도록 하는 downloader 프로그램을 하나 심어놓은것
이다. 엑셀파일을 오픈하면서 자신의 컴퓨터에는 이상한 프로그램들이 마구 깔리는것
방화벽이 있는 회사의 내부 시스템이라 할지라도, 익스플로러를 통한 outbound는 신뢰하는
통신으로 인지하여 안심하고 파일을 다운로드되어 사내에 정보들이 외부로 유출이 되는
사태가 발생까지 되었다.

위 내용은 가상 시나리오이지만 충분히 가능한 이야기다.

여기서 다루는 MS08-014 취약점의 경우
엑셀 2000, 2002, 2003, 2007 까지 영향을 받는 취약점이므로 반드시 패치하길 권장한다

SAV(Sessak Anti Virus) 무료 베타2 공개가 되었습니다.

무료 베타2 이며, Beta1에서 나왔던 오류사항들이 많이 제거되고 안정화를 찾아가고
있습니다.

검사,치료,사용 무료입니다.  아마 앞으로도 쭈욱....무료 계획이...?
사용자들과 함께 만들어 가는 솔루션...

[다운로드]
http://download.sessak.com/download.php?filename=sessak_beta2.exe

* 배포본 파일 업데이트 : 2008.3월 10일 배포판 (BETA2)
MD5 : 512EBDC8522C4C11D5822D135CE1FDD7 filename: sessak_beta2.exe


베타 버전 안내
* 인증에 제한 없이 누구나 무료로 사용이 가능 합니다. 개인/기업 포함

1. 의견 및 버그 신고는 웹사이트에 추가될 "버그신고" 게시판을 이용해 주시면 감사하겠습니다

2. 본 베타 버전은 누구나 자유롭게 사용할 수 있습니다.


문의 E-MAil : sessak@sesak.com

이보게 홍가양반, 대갈통속 정리좀하고 다시 뛰어보세..

자네.. 너무 달렸어..

자네 동생도 너무 달려었었어,,,

어때, 하루 푹쉬니까 좀 괜찮나?





"네....." 라고 말해주고싶다

어렸을때 부터 친한친구이자, 함께 컴퓨터를 해온 동반자인

이근상군(Okstart) 과 간만에 조우를 했습니다.

OKSTART 군을 소개하자면, 현재 Apmsetup.com 을 만들고 운영하고 있는
친구입니다.

고등학교때 Shareware Killer(쉐어웨어킬러팀) 라는 팀을 만들어서
대한민국 리버서, 리버싱 계를 함께 시작해고오고 평정해와 리버싱계의
전설을 만들었 었지요,  ~그러고 보니 나도 한때는.. 리버싱쪽이었내요 ;)

암튼 그 뒤로 ampm 편의점하시는분이 지금 오픈리버스포럼이라든가 많은 후배들이

활동들을 해주시고 계시는데.... 체계바라 님이나 스카이님등..woolee 형이나

그런 이야기들도좀하고..

학교다닐때부터의 일들과 현재의 사는이야기등..

정말로 요근래 경험하기 힘든 친구와의 만남이었습니다.

살아오면서, 사회친구는 그 누구보다도 많은데, 학창시절 친구는 많이

만나지 못하는 현실이.. 나도 어느새 사회적으로 물들었나 하는 생각을

하게되었습니다.

친구와 식사를 할 때 그 어떤 음식이던, 가격이 어떻던 하나도 아깝지 않고

마구 더 퍼주고 싶습니다.

이번에 런칭할 새싹(sessak.com) 에도 많은 도움을 줄 친구이지만,

그것 이전에 근상이와 저는 친한 친구일뿐입니다.

인생을 함께 살며 같이 늙어가는....



친구와 친구 와이프를 대전으로 보내고, 집에와서 생각에 잠겨 포스팅을 또한번

해봅니다.

베너용 로고 업로드를 위해서..

http://www.sessak.com    GO