한일전 축구를 이용한 국내 제휴(스폰서) 프로그램 유포 (2010.5.25)

5월 24일 열렸던 한일전 축구를 이용한 국내 제휴(스폰서) 프로그램 유포가 블로그를 통해 있었던 사례를 소개해 드리겠습니다.

• 블로그를 통한 알약(AlYac) 설치 파일 다운로드 주의 (2010.4.22)

해당 유포와 관련하여 최근 블로그를 통한 알약(AlYac) 설치와 관련된 내용과 연계되는 부분이므로 함께 읽어주시면 이해가 되시리라 보여집니다.

이번 유포 방식은 블로그 댓글에 [한일전생중계.exe] 라는 닉네임으로 해당 부분을 클릭하도록 유도하여 단축 URL로 구성된 특정 사이트로 접속을 유도하고 있습니다.

접속된 사이트는 하나의 jpg 그림 파일로 구성되어 있으며, 마치 실시간 TV 생중계를 볼 수 있는 동영상처럼 구성하여 사용자가 해당 그림을 클릭할 경우 국내 공개 자료실 도메인을 통해 특정 파일을 다운로드하도록 구성되어 있습니다.

최종적으로 다운로드된 TVSHOW11_m496.exe (MD5 : bc9c9291be5d1a4e4ad2b5fe9edeba7c) 파일에 대해서는 avast! 보안 제품에서만 Win32:Downloader-DKS 진단명으로 진단을 하고 있지만, 이는 보안 업체의 진단 정책에 따라 달라질 수 있습니다.

사용자가 해당 파일을 실행할 경우 심파일과 유사한 다운로드 창이 생성되며, 우측 하단에서는 스폰서 프로그램 목록이 제시되어 사용자가 제대로 확인을 하지 않을 경우 총 4개의 프로그램이 설치가 될 수 있습니다.

특히 제휴(스폰서) 프로그램의 경우 설치 전 단계에서 각 프로그램별 이용약관 미제시와 프로그램 이름을 제대로 확인할 수 없는 점으로 인해 설치 후 삭제시 불편을 야기할 수 있습니다.

스폰서 프로그램이 설치된 경우 바로고 스마트 즐겨찾기 프로그램으로 인한 광고 코드가 추가된 다수의 즐겨찾기 항목이 생성이 되는 것을 확인할 수 있습니다.

• 개인정보 보안 솔루션 : 인포프로텍트(InfoProtect)
• 검색 도우미 : 인포탭(InfoTab)

그 이외에 개인정보 보안 솔루션 인포프로텍트(InfoProtect), 검색 도우미 인포탭(InfoTab) 프로그램이 설치될 수 있습니다.

참고로 InfoProtect 설치 파일(MD5 : 123758d84629e9c9c491296d9a89b728)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Adware.InfoProtect.R.189952 진단명으로 진단을 하고 있으므로 참고하시기 바랍니다.

이번의 경우에 설치된 프로그램을 삭제하기 위해서는 먼저 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서, 제어판의 [barogo smart bookmark], [infoprotect], [InfoTab], [macchange] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램이 정상적인 프로그램으로 보안 업체에서 판단할지 여부는 개인이 알 수 없지만, 배포 과정에서 마치 악성코드 유포 방식과 흡사하게 전개되는 과정은 인터넷 사용자들이 속았다는 느낌을 받을 수 있지 않나 생각됩니다.

PS) 해당 프로그램이 정말 한일전 생중계는 제대로 해주었는지 궁금합니다.