반응형
당나귀(eDonkey) 프로토콜을 이용하는 P2P에서 특정 검색을 시도할 경우 다수의 압축 파일 또는 실행 파일로 위장한 악성 Clicker를 이용하여 해외 애드웨어(Adware) [Fun Web Products - Smiley Central]을 설치하려는 시도가 있으므로 주의하시기 바랍니다.
사용자 입장에서는 해당 파일들이 한글로 검색되었기에 국내에서 누군가가 공유를 하는 것으로 오해할 수 있습니다.
워낙 다양한 용량의 파일들이 구성되어 있기에 테스트에서는 3,094,095 Bytes (MD5 : 86110d90969fc37355130328e4e80370)용량의 파일을 이용하여 확인을 해보도록 하겠습니다.
참고로 P2P에서 유포되는 해당 설치 파일은 Trojan-Clicker.Win32.AutoIt.ac (Kaspersky) 또는 Adware.Neverblue.2 (Dr.Web) 진단명으로 일부 보안 제품에서 모든 파일들을 진단하고 있습니다.
다운로드된 파일의 설치 파일은 그림과 같은 아이콘 모양을 하고 있으며, 해당 파일을 실행하였을 경우에는 어떠한 화면 정보없이 Internet Explorer를 자동으로 실행하여 해외에서 제작된 Smiley Central 프로그램 관련 사이트로 연결을 시도하도록 구성되어 있습니다.
프로그램이 Smiley Central 사이트에 접근하는 경로를 확인해보면 특정 파트너 아이디(ID)가 등록되는 것을 통해 해당 악성 Clicker를 이용하여 특정 프로그램을 설치하도록 유도하여 금전적 이득을 보는 것으로 추정되며, 해당 프로그램의 배포자는 외국인으로 P2P에서 한글 검색어로 노출되는 것은 눈속임으로 보입니다.
또한 해당 사이트에 접속하게 되면 자동으로 [AutoComplete Pro]라는 인터넷 자동 완성 기능 관련 프로그램을 사용자 몰래 설치하는 것을 확인할 수 있습니다.
이제 핵심인 해당 Clicker 파일이 자동으로 실행한 Smiley Central 웹 사이트에 대해 살펴보도록 하겠습니다.
사용자가 [Get FREE Smileys!] 화살표 버튼을 클릭할 경우에는 사이트에서 제공하는 ActiveX 설치 방식으로 설치를 유도하는 페이지로 연결이 되도록 구성되어 있습니다.
이런 변경으로 인하여 ActiveX 설치창이 존재하는 페이지에 접근시 상단의 노란바 형태로 출력되는 것이 아니라 자동으로 ActiveX 설치창이 생성되고 사용자가 해당 설치를 하도록 유도하는 것입니다.
국내 P2P를 이용한 파일 다운로드를 즐기시는 분들 중에서는 이런 방식으로 유포되는 파일을 실수로 실행하여 최소한 ActiveX 설치창이 생성되는 과정까지는 접근했을 수도 있습니다.
이로 인하여 자신도 모르게 Internet Explorer의 일부 보안 설정이 변경되어 다른 악성 사이트에 접근시 위험에 노출될 수 있으므로 만약 이런 경험을 하신 분들은 반드시 보안 설정을 기본값으로 복원을 하시기를 바랍니다.
또한 P2P에서 한글 파일명이 검색되어도 실제로는 국내에서 배포하는 것이 아닌 악의적으로 검색 결과를 조작할 수 있으므로 주의가 요구됩니다.
사용자 입장에서는 해당 파일들이 한글로 검색되었기에 국내에서 누군가가 공유를 하는 것으로 오해할 수 있습니다.
워낙 다양한 용량의 파일들이 구성되어 있기에 테스트에서는 3,094,095 Bytes (MD5 : 86110d90969fc37355130328e4e80370)용량의 파일을 이용하여 확인을 해보도록 하겠습니다.
참고로 P2P에서 유포되는 해당 설치 파일은 Trojan-Clicker.Win32.AutoIt.ac (Kaspersky) 또는 Adware.Neverblue.2 (Dr.Web) 진단명으로 일부 보안 제품에서 모든 파일들을 진단하고 있습니다.
다운로드된 파일의 설치 파일은 그림과 같은 아이콘 모양을 하고 있으며, 해당 파일을 실행하였을 경우에는 어떠한 화면 정보없이 Internet Explorer를 자동으로 실행하여 해외에서 제작된 Smiley Central 프로그램 관련 사이트로 연결을 시도하도록 구성되어 있습니다.
[관련 URL 정보]
h**p://resid.web***.biz/getaction2.php?pl=152&geo=%2bWW
h**p://fbg**.com/click/?c=72811&s=116447&subid=sub1752
h**p://lw***.com/click/?s=116447&c=237727&subid=sub100
h**p://nb***.com/click/?s=116447&c=237727&subid=sub100&internal=86_1aifu7_1
h**p://www.smiley*******.com/?partner=(파트너 ID)&spu=true
h**p://install.autocomplete***.com/installHandler/?action=install&ver=1.1&si=7999
h**p://resid.web***.biz/getaction2.php?pl=152&geo=%2bWW
h**p://fbg**.com/click/?c=72811&s=116447&subid=sub1752
h**p://lw***.com/click/?s=116447&c=237727&subid=sub100
h**p://nb***.com/click/?s=116447&c=237727&subid=sub100&internal=86_1aifu7_1
h**p://www.smiley*******.com/?partner=(파트너 ID)&spu=true
h**p://install.autocomplete***.com/installHandler/?action=install&ver=1.1&si=7999
프로그램이 Smiley Central 사이트에 접근하는 경로를 확인해보면 특정 파트너 아이디(ID)가 등록되는 것을 통해 해당 악성 Clicker를 이용하여 특정 프로그램을 설치하도록 유도하여 금전적 이득을 보는 것으로 추정되며, 해당 프로그램의 배포자는 외국인으로 P2P에서 한글 검색어로 노출되는 것은 눈속임으로 보입니다.
또한 해당 사이트에 접속하게 되면 자동으로 [AutoComplete Pro]라는 인터넷 자동 완성 기능 관련 프로그램을 사용자 몰래 설치하는 것을 확인할 수 있습니다.
이제 핵심인 해당 Clicker 파일이 자동으로 실행한 Smiley Central 웹 사이트에 대해 살펴보도록 하겠습니다.
사용자가 [Get FREE Smileys!] 화살표 버튼을 클릭할 경우에는 사이트에서 제공하는 ActiveX 설치 방식으로 설치를 유도하는 페이지로 연결이 되도록 구성되어 있습니다.
[변경된 보안 수준]
1. 이전에 사용되지 않은 ActiveX 컨트롤을 묻지 않고 실행하도록 허용
- (변경 전) 사용 안 함 / (변경 후) 사용
2. ActiveX 컨트롤을 자동으로 사용자에게 확인
- (변경 전) 사용 안 함 / (변경 후) 사용
1. 이전에 사용되지 않은 ActiveX 컨트롤을 묻지 않고 실행하도록 허용
- (변경 전) 사용 안 함 / (변경 후) 사용
2. ActiveX 컨트롤을 자동으로 사용자에게 확인
- (변경 전) 사용 안 함 / (변경 후) 사용
이런 변경으로 인하여 ActiveX 설치창이 존재하는 페이지에 접근시 상단의 노란바 형태로 출력되는 것이 아니라 자동으로 ActiveX 설치창이 생성되고 사용자가 해당 설치를 하도록 유도하는 것입니다.
국내 P2P를 이용한 파일 다운로드를 즐기시는 분들 중에서는 이런 방식으로 유포되는 파일을 실수로 실행하여 최소한 ActiveX 설치창이 생성되는 과정까지는 접근했을 수도 있습니다.
이로 인하여 자신도 모르게 Internet Explorer의 일부 보안 설정이 변경되어 다른 악성 사이트에 접근시 위험에 노출될 수 있으므로 만약 이런 경험을 하신 분들은 반드시 보안 설정을 기본값으로 복원을 하시기를 바랍니다.
또한 P2P에서 한글 파일명이 검색되어도 실제로는 국내에서 배포하는 것이 아닌 악의적으로 검색 결과를 조작할 수 있으므로 주의가 요구됩니다.
728x90
반응형