본문 바로가기

벌새::Analysis

스폰서 프로그램 - 라이브 온 에어(Live On Air)

반응형
국내에서 제작된 무료 TV 시청 프로그램 라이브 온 에어(Live On Air) 제품 설치시 스폰서 프로그램으로 설치되는 부분에 대해 살펴보겠습니다.

제품명 : 라이브 온 에어(Live On Air)
제품 버전 : 2008.07.20
라이센스 : 스폰서형 애드웨어 (제작자 : Freeware)


* 설치시 보안 상태 : F-Secure (실시간 해제) / AhnLab SpyZero (실시간 해제 - 설치 후 실시간 동작)

사용자 삽입 이미지
현재 제작사에서 배포하는 버전의 설치 파일입니다.

해당 설치 파일 자체를 F-Secure 제품으로 검사를 해 보았습니다.

사용자 삽입 이미지
Kaspersky 엔진 진단명 Trojan-Downloader.Win32.Agent.wli 으로 진단을 하고 있습니다.

조금 더 자세하게 살펴보기 위하여 해당 설치팩의 압축을 해제해 보았습니다.

사용자 삽입 이미지
압축을 해제하면 TV 시청 프로그램 Live On Air와 스폰서 프로그램 설치 파일이 나옵니다.

사용자 삽입 이미지
실제 TV 시청 프로그램이 트로이목마로 진단된 것이 아닌 스폰서 프로그램이 진단되고 있는 것을 확인할 수 있습니다.

[softnsoft1_20080707.exe]
Antivirus Version Last Update Result
AhnLab-V3 2008.7.21.1 2008.07.21 -
AntiVir 7.8.1.11 2008.07.21 -
Authentium 5.1.0.4 2008.07.20 -
Avast 4.8.1195.0 2008.07.20 Win32:Trojan-gen {Other}
AVG 8.0.0.130 2008.07.21 Downloader.Agent.AILN

BitDefender 7.2 2008.07.21 -
CAT-QuickHeal 9.50 2008.07.18 -
ClamAV 0.93.1 2008.07.21 -
DrWeb 4.44.0.09170 2008.07.21 -
eSafe 7.0.17.0 2008.07.21 -
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 -
F-Prot 4.4.4.56 2008.07.20 -
F-Secure 7.60.13501.0 2008.07.21 Trojan-Downloader.Win32.Agent.wli
Fortinet 3.14.0.0 2008.07.21 -
GData 2.0.7306.1023 2008.07.21 Trojan-Downloader.Win32.Agent.wli
Ikarus T3.1.1.34.0 2008.07.21 -
Kaspersky 7.0.0.125 2008.07.21 Trojan-Downloader.Win32.Agent.wli
McAfee 5342 2008.07.18 -
Microsoft 1.3704 2008.07.21 -
NOD32v2 3284 2008.07.21 -
Norman 5.80.02 2008.07.21 -
Panda 9.0.0.4 2008.07.20 -
PCTools 4.4.2.0 2008.07.21 -
Prevx1 V2 2008.07.21 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.21 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.21 -
TheHacker 6.2.96.385 2008.07.20 -
TrendMicro 8.700.0.1004 2008.07.21 -
VBA32 3.12.8.1 2008.07.21 -
VirusBuster 4.5.11.0 2008.07.21 -
Webwasher-Gateway 6.6.2 2008.07.21 -
Additional information
File size: 1222723 bytes
MD5...: f2609b6e132ebc416362da1bfff616e9
SHA1..: 6e600b2d6d371ea7af459d386f09291d375dbaf7
SHA256: 382beb2ca703ad2be956965d3cab8ae488278faf3404650efc274e095eac33ab
SHA512: c5a80f16a27dd9e41f8b09053843d42b44fcbf38b800be1b61f18e5663a5aa5e
1a11b28efe096be6e8c33664357e229aacdccc1a83d8f85a695be3b4313ea8bd

실제 해당 프로그램을 설치하면서 살펴보도록 하겠습니다.

사용자 삽입 이미지
사용자 삽입 이미지
프로그램 설치 과정에서 이용약관을 제공하고 있습니다.

스폰서 프로그램 설치에 관한 부분을 보시면 업데이트나 설치를 통해 스폰서 프로그램이 설치될 수 있다고 언급하며 설치시 사용자 선택에 의해 설치가 된다고 밝히고 있습니다.

사용자 삽입 이미지
설치되는 스폰서 프로그램에 대한 이용약관도 포함되어 있습니다.

제작사 : I Show Soft (아이쇼소프트)
스폰서 제품명 : LineGuide


현재 제품의 이용약관에는 LineGuide에 대한 부분만 제공하고 있습니다.

사용자 삽입 이미지
다음 단계에서 스폰서 프로그램 라인가이드(LineGuide)의 설치에 관한 사용자의 설치 선택사항이 있습니다.

사용자 삽입 이미지
실제 설치를 했을 때 스폰서 관련 설치 폴더와 파일 정보입니다.

[문제점]

설치 단계에서 스폰서 프로그램에 대한 부분은 LineGuide 한 가지가 설치된다고 밝히고 있지만, 실제로는 PopGuide 라는 또 다른 스폰서 제품이 설치되고 있습니다.
이용약관이 업데이트 또는 설치시 사용자 선택을 제시한다고 밝히고 있기에 이용약관과 불일치한 점이 있습니다.

사용자 삽입 이미지


그렇다면 Kaspersky 제품은 이 점을 고려하여 스폰서 프로그램을 트로이목마로 진단하고 있는 것인지 확인해 보았습니다.

확인 방법은 설치된 파일 모두를 개별 테스트하였습니다.

[lineguideup.exe] - C:\Program Files\lineguide\lineguideup.exe
Antivirus Version Last Update Result
AhnLab-V3 2008.7.21.1 2008.07.21 -
AntiVir 7.8.1.11 2008.07.21 TR/Dldr.Agent.wli
Authentium 5.1.0.4 2008.07.20 -
Avast 4.8.1195.0 2008.07.20 Win32:Trojan-gen {Other}
AVG 8.0.0.130 2008.07.21 Downloader.Agent.AILN

BitDefender 7.2 2008.07.21 -
CAT-QuickHeal 9.50 2008.07.18 -
ClamAV 0.93.1 2008.07.21 -
DrWeb 4.44.0.09170 2008.07.21 -
eSafe 7.0.17.0 2008.07.21 -
eTrust-Vet 31.6.5971 2008.07.21 -
Ewido 4.0 2008.07.21 Downloader.Agent.wli
F-Prot 4.4.4.56 2008.07.20 -
F-Secure 7.60.13501.0 2008.07.21 Trojan-Downloader.Win32.Agent.wli
Fortinet 3.14.0.0 2008.07.21 W32/Agent.WLI!tr.dldr
GData 2.0.7306.1023 2008.07.21 Trojan-Downloader.Win32.Agent.wli
Ikarus T3.1.1.34.0 2008.07.21 Trojan-Downloader.Win32.Agent.wli
Kaspersky 7.0.0.125 2008.07.21 Trojan-Downloader.Win32.Agent.wli

McAfee 5342 2008.07.18 -
Microsoft 1.3704 2008.07.21 -
NOD32v2 3284 2008.07.21 -
Norman 5.80.02 2008.07.21 -
Panda 9.0.0.4 2008.07.20 Suspicious file
PCTools 4.4.2.0 2008.07.21 -
Prevx1 V2 2008.07.21 -
Rising 20.54.02.00 2008.07.21 -
Sophos 4.31.0 2008.07.21 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.21 -
TheHacker 6.2.96.385 2008.07.20 -
TrendMicro 8.700.0.1004 2008.07.21 -
VBA32 3.12.8.1 2008.07.21 -
VirusBuster 4.5.11.0 2008.07.21 -
Webwasher-Gateway 6.6.2 2008.07.21 Trojan.Dldr.Agent.wli
Additional information
File size: 339968 bytes
MD5...: 526e04135e13c30f80ae70dfea9d7a4c
SHA1..: aca4d846c985f273918723396017af83dc1c65a6
SHA256: a0b84b30f1d111602b9d985288465ea39493f9c35745c75862821d94a501af7c
SHA512: a791fa91d78b848b3f7ff8a94dcb55add31197443cb3a2a63ff99a77981f8072
013033793b6fc608e0a1c2b76e82224150655f754e0eddf8bef8b5978f5f4cde

재미있게도 허락없이 설치된 PopGuide 관련 파일은 모든 보안제품에서 진단되지 않고 있으며, 이용약관에서 언급한 LineGuide 실행 파일을 진단하고 있습니다.

의심할 점은 해외 보안제품이므로 보안업체 진단정책상의 차이라고 볼 수도 있습니다. 특히 국내 안철수연구소의 SpyZero 제품에서는 모든 파일을 진단하고 있지 않습니다.

그렇다고 PopGuide는 어디에서 온건지 확인을 해 보았습니다.

확인은 실제 LineGuide 제작사의 홈페이지에서 다운로드한 해당 설치 파일로 설치를 해 보았습니다. 설치했을 경우 그 안에 PopGuide가 포함되어 있다면 문제가 없다고 보여집니다.

사용자 삽입 이미지
하지만 설치 폴더와 파일 정보를 보시면 LineGuide만 설치되고 PopGuide는 보이지 않습니다. 이는 분명 PopGuide는 다른 제품임을 알 수 있습니다.

최종적으로 판단하건데, 현재의 이용약관과 스폰서 프로그램의 차이로 인해 실제 PopGuide는 사용자 몰래 설치된 악성코드로 볼 수 있으며, 현재 진단하는 LineGuide는 보안업체마다의 진단정책 문제일 수 있다고 보여집니다.

물론 해당 스폰서 프로그램이 약관과는 다른 동작을 취하거나 약관을 벗어난 악성코드와 같은 동작을 한다고 보안업체에서 판단하여 이와 같은 진단을 할 수도 있다고 봅니다.

스폰서 프로그램의 설치는 사용자의 선택이므로 잘 선택하셔서 설치하시기 바랍니다.
728x90
반응형