포털 사이트 광고를 통한 광고 프로그램 유포 사례 (2012.3.15)

국내에서 제작된 광고 프로그램은 다양한 배포 경로를 통해 사용자 PC에 설치가 되는데, 최근 포털 사이트 광고에 등록된 공개 자료실 방식으로 운영되는 서비스를 통해 얼마나 많은 광고 프로그램이 사용자를 속이면서 설치가 이루어지는지 살펴보도록 하겠습니다.

오늘의 주인공은 네이버(Naver)에서 운영하는 클릭초이스 광고를 통해 홍보가 이루어지고 있으며, 해당 링크를 클릭할 경우 공개 자료실 형태로 운영되는 웹 사이트의 특정 게시물(※ 이번 경우에는 레지스트리 정리 프로그램과 연관된 국내 유명 시스템 최적화 프로그램 고클린 게시물)로 연결이 이루어지도록 되어 있습니다.

연결된 공개 자료실에서 사용자는 아무런 의심없이 설치 파일(MD5 : 2160abb7b973fe2a47f7ccb632ac458f)을 다운로드하게 되고, 다운로드된 파일은 우측 그림과 같은 Internet Explorer 웹 브라우저 아이콘 모양을 하고 있습니다.

참고로 해당 파일에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.MicroDownload (VirusTotal : 1/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

다운로드된 파일을 실행하면 그림과 같은 Internet Explorer 웹 브라우저에서 제공하는 다운로드창과 동일한 모양의 창이 생성되는 것을 확인할 수 있습니다.

여기에서 몇 가지 사용자 눈을 속이기 위한 트릭(Trick)이 숨어 있으며 세부적으로 다음과 같습니다.

① 파일 다운로드 주소로 표시된 "micro.download.com/blog"는 해외 유명 공개 자료실에서 받아오는 것처럼 표시되고 있지만 실제로는 다른 경로(※ 국내 co.kr 도메인을 참조한 club***.com)를 통해 다운로드가 이루어지며, ② "추가 소프트웨어 설치 후 대화 상자를 닫음" 메시지 영역의 스크롤바를 내리면 추가적으로 현재 12종의 광고 프로그램이 숨어 있는 것을 확인할 수 있으며, ③ 각 광고 프로그램을 하나씩 선택한 상태에서 다운로드창 하단의 "자세히보기" 버튼을 클릭하면 이용약관을 제시하는 웹 페이지로 연결이 이루어집니다.

만약 눈치가 빠른 사용자가 이런 부분을 확인하고 다운로드 창의 "취소" 버튼을 클릭할 경우에는 종료 여부를 묻는 "다운로드 관리자" 창이 생성되는데, "예 / 아니오" 버튼의 위치를 서로 변경하여 사용자가 버튼의 위치에만 신경을 쓰도록 하고 있습니다.

이를 통해 사용자 입장에서 안내 메시지를 읽지 않고 종료를 목적으로 "예" 버튼을 클릭할 경우에는 추가된 광고 프로그램이 모두 설치된 후 종료가 이루어지게 되어 있으므로 주의하시기 바랍니다.

다시 앞으로 돌아가서 사용자가 프로그램을 다운로드하기 위하여 "저장" 버튼을 클릭하면 정상적인 Internet Explorer 웹 브라우저의 다운로드 동작과 동일하게 파일을 저장할 폴더 위치를 지정하는 창이 생성됩니다.

그 후 실제 파일 다운로드를 시도하면 그림과 같이 파일이 다운로드 되는 것을 확인할 수 있으며 사용자는 아무런 의심을 하지 않을 것으로 보입니다.

특히 그 다음 동작에서는 다운로드된 시스템 최적화 프로그램의 설치 화면으로 연결이 이루어지므로 사용자는 프로그램 설치를 진행할 것이며, 그 과정에서 백그라운드 방식으로 설치되는 다수의 광고 프로그램이 마치 해당 프로그램 설치로 인해 시스템이 다소 무거워지는 느낌을 받을 수 있습니다.

이런 일련의 파일 다운로드 과정에서 발생하는 실제적인 연결 정보를 확인해보면, 사용자가 공개 자료실에서 다운로드한 파일을 실행하면 특정 서버에 등록된 제휴(스폰서) 프로그램(광고 프로그램)을 체크하며, 사용자가 다운로드를 실행하면 고클린 파일을 다운로드하는 과정에서 백그라운드 방식으로 다운로드되어 설치가 이루어집니다.

이렇게 설치되는 다양한 제휴(스폰서) 프로그램은 무엇인가 간단하게 살펴보도록 하겠으며, 1차적으로 설치된 프로그램(12종)이 또 다시 사용자 몰래 추가적으로 5종의 광고 프로그램을 설치하여 최종적으로 17종의 광고 프로그램이 설치되고 있습니다.(※ 해당 광고 프로그램의 종류는 배포자의 의도에 따라 변경될 수 있습니다.)

(1) 제휴(스폰서) 프로그램 : pds launcher control 2.1 + windows pds update 1.1 (2012.1.31)

• h**p://******.mindtop.kr/111221/***_up/launc.exe (MD5 : 94879888769e366f7cbd4b3c555a3b43) : pds launcher control 2.1 프로그램
• h**p://******.mindtop.kr/120106/*****_md/pds.exe (MD5 : 92deffcec2a175f122a8194010ea09f0) : windows pds update 1.1 프로그램

설치된 pds launcher control 2.1 프로그램은 서비스에 자신을 등록하여 1분이 경과하는 시점에서 사용자 동의없이 추가적으로 5종의 프로그램을 설치하는 동작이 있습니다.

(1-1) 글자수 세기 프로그램 "System count Lab"

• h**p://******.greenkeep.kr/120315/******/Wordcntje.exe (MD5 : c7f89fa9dccd9a6f2a59428b3968fb9a)

해당 프로그램은 "C:\Program Files\Win Wordcounter pro" 폴더에 파일을 생성하며, 시스템 시작시 jewordsvc.exe 파일을 시작 프로그램으로 등록하여 특정 서버에 등록된 제휴(스폰서) 프로그램이 존재할 경우 사용자 몰래 추가적인 설치가 있을 수 있으리라 판단됩니다.

(1-2) 개인정보 보안 솔루션 : 파일보안(FileBoan) (2011.10.31)

• h**p://******.greenkeep.kr/120315/******/fileboansetup_run.exe (MD5 : 4426a7802c93e9206692eb66ece58b43) - AhnLab V3 : Trojan/Win32.Fakeav (VirusTotal : 12/42)

(1-3) 검색 도우미 : SmartTool (2011.4.11)

• h**p://******.greenkeep.kr/120315/******/SmartTool__SM83.exe (MD5 : 4f2e28e9b0703b5a00ad0f7aedfb1974) - nProtect : Trojan-Downloader/W32.Agent.66008.B (VirusTotal : 17/43)

(1-4) 검색 도우미 : GuideOn (2011.4.14)

• h**p://******.greenkeep.kr/120315/******/GuideOn__GO83.exe (MD5 : 41ad096cba55de9bf1c2c789a74b9c24) - Hauri ViRobot : Trojan.Win32.Fosniw.146528 (VirusTotal : 35/42)

(1-5) 즐겨찾기 및 바탕 화면 바로가기 아이콘 생성 : 삭제 미지원

• h**p://******.greenkeep.kr/120315/******/barcorn.exe (MD5 : 12a0b9bf275fcca85a88c7c065580825)

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Favorites\★2012년★ 최신무료 영화.url
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\d&shop.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\flashup.exe :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\바탕 화면\★2012년★ 최신무료 영화.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\12년도 11번가 .lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓 - 놀라움을 쇼핑하다, G마켓.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션 - 앞으로의 인터넷쇼핑, 옥션.lnk
C:\WINDOWS\11s1.ico
C:\WINDOWS\act1.ico
C:\WINDOWS\gma1.ico
C:\WINDOWS\webhard.ico

GET /log/?modeAct=install&imac=(사용자 Mac Address)&icode=barc HTTP/1.1
User-Agent: flashup
Host: www.totallog.co.kr

설치 과정에서 flashup.exe 파일은 특정 로그(Log) 서버에 설치된 PC의 Mac Address 정보를 전송합니다.

해당 프로그램은 즐겨찾기와 바탕 화면에 추천인 아이디가 포함된 최신 무료 영화(웹하드) 바로가기 아이콘과 광고 코드가 추가된 인터넷 쇼핑몰(11번가, 옥션, G마켓) 바로가기 아이콘이 생성됩니다.

해당 프로그램을 삭제하기 위해서는 삭제 기능이 존재하지 않으므로 수동으로 생성 파일들은 찾아 삭제하시기 바랍니다.

"pds launcher control 2.1" 윈도우 종료 매니저 프로그램을 통해 사용자 몰래 설치된 프로그램들은 제어판에 등록된 "fileboan, GuideOn, processdata, SmartTool, System count Lab  ." 삭제 항목을 이용하여 삭제하시기 바랍니다.

(2) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)

• h**p://www.fileham.com/ad/*****/exad014.exe (MD5 : 1b0da974b30ca1b34fb0c0b6c6f3a07c)

(3) 검색 도우미 : Addendum - addentool (2011.10.3)

• h**p://******.mindtop.kr/120306/*******/setup_p006.exe (MD5 : 3bfaf6ebc237eff1a64e91419044a7f0)

(4) 검색 도우미 : WallTab (2011.9.4)

• h**p://******.mindtop.kr/120118/*******/WallTab__WT10.exe (MD5 : d024318c23eb4b5eacf61bb905865913) - AhnLab V3 : PUP/Win32.NBiz (VirusTotal : 13/42)

(5) 검색 도우미 : FineTop (2011.8.19)

• h**p://******.mindtop.kr/111221/*******/FineTop__FT81.exe (MD5 : 26c59a11ff9991b3f34d434c7fd2a3ef) - Hauri ViRobot : Adware.FineTop.73000.B (VirusTotal : 9/42)

(6) 모빈포인츠(MobinPoints)

• h**p://******.mindtop.kr/120207/*******/setup_c32065_mobinpoints.exe (MD5 : 29c8f5c38bb59f54c96858ea47a1b2a5)

해당 프로그램은 "모던플러스(ModernPlus)" 시리즈 검색 도우미 프로그램으로 인터넷 검색시 포털 사이트 검색 결과를 변조하여 광고를 생성하는 기능이 있는 것으로 알려져 있습니다.

참고로 해당 시리즈는 다양한 이름으로 배포되는 과정에서 기존에 모던플러스(ModernPlus) 프로그램이 설치되었던 환경에서는 설치가 되지 않으므로 실제 정상적으로 설치되지 않을 수 있습니다.

(7) 검색 도우미 : Keyword Find (2011.11.25)

• h**p://******.mindtop.kr/120210/*******/utildown.exe (MD5 : d00a5ca86dcbee73701eea6b4af8333a)

(8) 제휴(스폰서) 프로그램 : MicroWebAD Installer 1.1 (2011.9.16)

• h**p://******.mindtop.kr/111221/*******/microWebAD_install_G.exe (MD5 : 8843607b3827f4ff4d73489f7ef73051) - Hauri ViRobot : Adware.Agent.1509232 (VirusTotal : 20/43)

(9) 검색 도우미 : Advenced Top C Manager (2012.3.15)

• h**p://******.mindtop.kr/120314/*******/TC_Channel68.exe (MD5 : 6f49cc3d9f94eecedcb1b445c768ae2a) - AhnLab V3 : Win-PUP/Helper.Werping.502824 (VirusTotal : 1/43)

(10) 야후(Yahoo) 시작 페이지 변경, 즐겨찾기 및 바탕 화면 바로가기 아이콘 생성 : 삭제 미지원

• h**p://******.mindtop.kr/120309/******/barcon.exe (MD5 : 5604a129e5102e4fc26faaeea6c931a9) - Hauri ViRobot : Adware.Agent.72742 (VirusTotal : 18/43)

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Favorites\★2012년★ 최신무료 영화.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\yhsen.exe :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\바탕 화면\★2012년★ 최신무료 영화.lnk
C:\WINDOWS\webhard.ico

[생성 / 변경 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 시작 페이지 URL) :: 변경 전
 - Start Page = http://kr.yahoo.com/?ilc=128 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
 - Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 :: 변경 전
 - Start Page = http://kr.yahoo.com/?ilc=128 :: 변경 후

※ 레지스트리 편집기(regedit)를 실행하여 "변경 후" 값을 "변경 전" 값으로 수정하시기 바랍니다.

GET /install.asp?id=127&mac=(사용자 Mac Address) HTTP/1.1
User-Agent: yhsen
Host: ilc.nbz.co.kr

프로그램 설치 과정에서 yhsen.exe 파일은 설치되는 PC의 Mac Address 정보를 특정 서버로 전송하는 동작을 합니다.

해당 프로그램은 사용자가 지정한 홈 페이지를 특정 코드가 포함된 야후(Yahoo)로 시작 페이지를 변경합니다.

또한 바탕 화면에는 추천인 아이디가 포함된 웹하드 바로가기 아이콘(★2012년★ 최신무료 영화)이 생성되며, 즐겨찾기 항목에도 동일한 바로가기 아이콘이 추가됩니다.

그러므로 삭제 기능을 제공하지 않는 해당 프로그램은 사용자가 생성 파일 및 레지스트리 정보를 참고하여 수동으로 삭제 및 수정을 하시기 바랍니다.

(11) 검색 도우미 : Win shopping icon guide (2011.11.30)

• h**p://******.mindtop.kr/120215/*******/install_Shortcut_20355604.exe (MD5 : 52106d1db809fcd4535dd9d09f9b111d) - Hauri ViRobot : Adware.Agent.163800 (VirusTotal : 6/43)

이상의 프로그램을 삭제하시기 위해서는 각 프로그램별 분석 링크 정보를 참고하시기 바라며, 제어판에서 다음과 같은 삭제 항목을 이용하여 삭제를 하시기 바랍니다.

다운로드 과정에서 비록 사용자 동의를 얻어서 설치된 프로그램들(※ 동의를 얻어서 설치된 프로그램은 그 이후에는 동의없이 설치하는 경우도 많습니다.)은 다양한 광고창 생성, 시작 페이지 변경, 사이드바 생성, 바로가기 아이콘 생성, 추가적인 프로그램 설치 등 시스템에 많은 문제와 불편을 유발할 수 있습니다.

그러므로 프로그램 다운로드는 잘 알려진 공개 자료실(심파일, 앳파일) 또는 제작사 홈페이지를 이용하시기 바라며, 프로그램 설치시에는 추가적으로 설치되는 요소가 없는지 꼼꼼하게 살피는 습관을 가지시기 바랍니다.(※ 이런 방식이라면 웬만해서 다운로드를 막을 수 없을 것 같지만... )