최근 네이버(Naver)에서 제공하는 프로그램처럼 이름을 등록하여 인터넷 검색시 사용자 몰래 특정 코드를 추가하여 야후(Yahoo) 검색을 시도하는 검색 도우미 "Window naverdown" 프로그램에 대해 살펴보도록 하겠습니다.
특히 해당 프로그램은 2012년 2월 21일경 "naverdown.com" 도메인을 등록하여 마치 네이버(Naver) 관련 사이트처럼 오해를 유발하고 있습니다.
해당 프로그램의 설치 파일(MD5 : 6420099cd6fb56ae76d36872e51823d0)에 대하여 avast! 보안 제품에서는 Win32:Malware-gen (VirusTotal : 5/41) 진단명으로 진단되고 있습니다.
C:\Program Files\naverdowns
C:\Program Files\naverdowns\free_naverdown.exe
C:\Program Files\naverdowns\naverdown Update Log.txt
C:\Program Files\naverdowns\naverdown_v5.dll :: BHO 등록 파일
C:\Program Files\naverdowns\naverdown.dat
C:\Program Files\naverdowns\naverdown.exe :: 시작 프로그램 등록 파일
C:\Program Files\naverdowns\unins000.dat
C:\Program Files\naverdowns\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\naverdowns\unins000.exe
- MD5 : 7c60a71801d9ef4d866c193eee4ee5a2
- AhnLab V3 : Win-PUP/Helper.YesPopup.681844 (VirusTotal : 1/42)
해당 프로그램은 "C:\Program Files\naverdowns" 폴더에 파일을 생성하며, Windows 시작시 naverdown.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- naverdown = c:\program files\naverdown\naverdown.exe
하지만 등록된 시작 프로그램 레지스트리 값(Run)을 확인해보면 파일 경로(c:\program files\naverdown\naverdown.exe)가 잘못 표기된 문제로 실제 시스템 시작시 자동 실행되지 않고 있습니다.
실제 정상적으로 시작 프로그램이 등록되어 naverdown.exe 파일이 실행된다면 업데이트 서버로부터 파일을 다운로드하는 동작을 확인할 수 있습니다.
생성된 파일 중 naverdown.exe 파일을 확인해보면 "TrueUpdate Client" 속성값을 가지고 있으며, 원본 파일 이름이 tu_rt.exe 파일로 등록되어 있는 것을 확인할 수 있습니다.
또한 디지털 서명에서는 국내 광고 프로그램에서 종종 발견되고 있는 keimc 서명자로 등록되어 있습니다.
▷ 검색 도우미 : Windows nuriweb (2011.12.17)
▷ 검색 도우미 : Windows infoaux (2012.3.10)
▷ 검색 도우미 : Windows Sidematch System (2012.3.13)
▷ 국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (2012.4.4)
이는 기존의 유사한 다양한 이름의 검색 도우미 프로그램이 존재하였음을 알 수 있으며, 특히 최근 사용자 몰래 설치되는 악성 파일(Adware.Salumonia.816277)을 통해 유포되고 있는 사례를 통해 이번의 경우에는 사용자 동의없이 네이버(Naver) 관련 프로그램으로 위장하여 설치되고 있는 것으로 추정됩니다.
해당 프로그램이 설치된 환경에서 사용자가 인터넷 검색을 하는 과정에서 백그라운드 방식으로 사용자가 입력한 키워드 값을 참조한 야후(Yahoo) 검색이 이루어지는 것을 확인할 수 있습니다.
특히 야후(Yahoo) 검색을 연결하는 과정에서 특정 광고 코드(sem.ilikeclick.com)가 포함되어 있는 것을 확인할 수 있었습니다.
이름 : Windows NaverDown Class
게시자 : keimc
유형 : 브라우저 도우미 개체
CLSID : {F887887B-2D45-4998-9249-0ADE4BAD9BBB}
파일 : C:\Program Files\naverdowns\naverdown_v5.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 naverdown_v5.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고 코드가 추가된 야후(Yahoo) 검색을 백그라운드 방식으로 진행하도록 되어 있습니다.
이런 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "Windows NaverDown Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Window naverdown" 삭제 항목을 이용하여 삭제할 수 있습니다.
제어판에 등록된 "Window naverdown" 삭제 항목의 지원 정보에 표시된 "naverdown Inc." 링크를 클릭해보면 일반적으로 해당 프로그램 제작사 홈 페이지가 연결되는 것과는 다르게 "C:\Documents and Settings" 폴더로 연결되는 것을 확인할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- naverdown = c:\program files\naverdown\naverdown.exe
HKEY_CURRENT_USER\Software\naverdown
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F887887B-2D45-4998-9249-0ADE4BAD9BBB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AD087366-012D-44BD-8604-EDDA1AAD3BBB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\naverdown.naverdown
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3D3A1318-C358-47E0-8E53-39FC647E8BBB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F887887B-2D45-4998-9249-0ADE4BAD9BBB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\naverdown_is1
해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 실제 광고 동작도 백그라운드 방식으로 동작하여 사용자가 눈치챌 수 없을 것으로 보입니다.
또한 파일 정보를 확인해보면 naverdown_v5.dll (1.0.0.5) 파일명과 같이 버전(Version)에 따라 일부 파일명과 BHO 레지스트리 값이 변경될 것으로 추정됩니다.
마지막으로 네이버(Naver)에서 제공하는 프로그램처럼 도메인과 프로그램 이름을 등록하여 사용자를 속이려는 경향이 강하므로 주의하시기 바랍니다.