본문 바로가기

벌새::Analysis

CCleaner를 이용한 국내 제휴(스폰서) 프로그램 유포 사례 (2011.5.16)

반응형
자신도 모르게 설치가 이루어지는 국내 악성코드 치료 프로그램, 개인정보 보안 솔루션, 검색 도우미, 즐겨찾기, 바로가기 아이콘 등의 유포 방식 중에서는 정상적인 소프트웨어와 함께 설치가 이루어지는 경우가 있습니다.

특히 최근에는 단축 URL 방식을 이용하여 사용자가 파일 다운로드 경로를 제대로 인지하지 못하도록 제시하여 파일을 다운로드하도록 하는 사례가 있으므로, 소프트웨어 다운로드는 반드시 제작사 사이트에서 다운로드를 하는 습관이 매우 중요하겠습니다.

오늘 살펴볼 사례는 네이버(Naver) 카페에서 정상적인 소프트웨어 다운로드로 위장한 단축 URL 방식으로 국내 제휴(스폰서) 프로그램을 유포하는 방식입니다.

 

 

그림과 같이 해외 무료 시스템 최적화 프로그램인 CCleaner 게시물에 해당 프로그램의 최신 버전으로 소개한 단축 URL 정보를 통해 사용자의 다운로드를 유도하고 있습니다.

 

 

해당 단축 URL 링크를 클릭할 경우 국내 개인 도메인 linkmam.pe.kr에 접속하여 CCleaner 설치 파일을 다운로드하는 것을 확인할 수 있습니다.

 

 

다운로드된 설치 파일(왼쪽)과 CCleaner 공식 사이트에서 제공하는 설치 파일(오른쪽)과 비교를 하면 설치 파일이 조작되어 있는 것을 쉽게 확인할 수 있습니다.

 

 

pe.kr 도메인을 통해 다운로드된 설치 파일을 실행하면 그림과 같이 SFX 실행 압축 파일과 유사한 UI 모양을 통해 압축을 풀도록 구성되어 있으며, 추가 구성 요소 설치 동의창이 작게 추가되어 있는 것을 확인할 수 있습니다.

일반적으로 이런 상황에서 제휴(스폰서) 프로그램에 대한 기본 지식이 없을 경우 해당 창의 스크롤바를 하단으로 내릴 생각을 하지 않게 되며, 설치를 그대로 진행할 경우에는 그림과 같이 총 8개의 추가적인 프로그램이 백그라운드 방식으로 모두 설치가 이루어지게 됩니다.
 

이런 제휴(스폰서) 프로그램 설치로 인하여 사용자는 자신도 모르게 설치되었다고 오해를 유발할 수 있으며, 어떤 프로그램이 어디에 설치되었는지 찾아서 삭제를 하는데 매우 어려움을 겪을 수 있습니다.

그러므로 프로그램 설치 단계에서는 추가적으로 설치되는 프로그램 여부를 꼼꼼하게 확인하는 습관과 함께 반드시 설치를 요구하는 프로그램의 경우에는 되도록 이용하지 마시기 바라며, 일부 프로그램의 경우에는 제시되는 목록 이외에 사용자 몰래 추가적으로 설치가 이루어지는 경우도 있으므로 매우 주의하시기 바랍니다.

728x90
반응형