본문 바로가기

벌새::Analysis

가짜 Adobe Flash Player 파일을 이용한 해외 광고 사례 (2013.12.4)

728x90
반응형

인터넷은 국경이 없는 관계로 최근에는 해외 광고 프로그램이 설치되어 웹 브라우저 이용시 광고가 추가되는 문제로 고생을 많이 하는 경우가 있는 것으로 알고 있습니다.

 

특히 해외 광고 프로그램의 경우 구글 크롬(Google Chrome) 웹 브라우저에서도 광고가 노출되도록 제작된 경우가 대부분인 관계로 제어판에 등록된 광고 프로그램을 찾아 삭제하여도 지속적인 광고 동작이 발생하는 경우도 많은 것 같습니다.

 

이번에 소개해 드릴 해외 광고 프로그램 유포 사례는 해외 성인 사이트에서 발견되고 있는 가짜 Adobe Flash Player 프로그램으로 위장하여 Google Chrome 웹 브라우저 환경에서만 동작하는 다소 독특한 유포 방식으로 확인되고 있습니다.

웹 브라우저를 통해 해외 특정 성인 사이트에서 제공하는 동영상을 감상하기 위해서는 그림과 같이 Adobe Flash Player 최신 버전으로 업데이트 해야한다고 안내하고 있습니다.

 

Internet Explorer 웹 브라우저에서도 해당 모습은 동일하게 표시되지만 사용자가 파일 다운로드를 시도할 경우 파일을 받아오지 못하지만, Google Chrome 웹 브라우저 환경에서는 다음과 같이 파일 다운로드가 이루어집니다.

다운로드된 Adobe Flash Player 설치 파일(flash.exe - MD5 : e6df4bec839a53943a9e3639bd554a78)은 Google 관련 서버를 통해 특정 조건에서 다운로드가 이루어지고 있으며, 해당 파일을 실행하여 설치가 이루어진 환경에서도 성인 사이트의 동영상은 절대로 재생되지 않습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\mondngajneikgfbgpibddakednnmngef
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\mondngajneikgfbgpibddakednnmngef\11_0
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\mondngajneikgfbgpibddakednnmngef\11_0\background.js
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\mondngajneikgfbgpibddakednnmngef\11_0\manifest.json
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\mondngajneikgfbgpibddakednnmngef\11_0\notepad.exe
C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\mondngajneikgfbgpibddakednnmngef\11_0\s.exe

해당 프로그램은 Google Chrome 웹 브라우저 확장 프로그램이 등록되는 폴더 내의 "C:\Users\(사용자 계정)\AppData\Local\Google\Chrome\User Data\Default\Extensions\mondngajneikgfbgpibddakednnmngef" 폴더에 파일을 생성합니다.

프로그램이 설치된 환경에서는 Google Chrome 웹 브라우저의 확장 프로그램에 "Flash Player 11"이라는 앱으로 자동 추가되어 있습니다.

참고로 Google Chrome 웹 브라우저의 Adobe Flash Player 플러그인은 기본 내장형으로 "C:\Program Files\Google\Chrome\Application\(버전)\PepperFlash\pepflashplayer.dll" 파일을 통해 구현되고 있습니다.

  • h**p://promotion-coupons-free.com/j.php?u=5c59354c4e55dc156ff750de9451105788148caa&b=2&c=9&v=c0005z
  • h**p://cdn-dccs.com/js_f.php?v=c0005z

"Flash Player 11" 앱이 설치된 환경에서 Google Chrome 웹 브라우저 실행 및 인터넷 검색시마다 미국(USA)에 위치한 특정 광고 서버로 연결을 매번 시도합니다.

이를 통해 국내 인터넷 사용자들이 가장 많이 방문하는 네이버(Naver) 사이트의 경우 메인 페이지 접속시, 인터넷 검색시마다 다양한 광고 배너가 화면상에 노출되는 것을 확인할 수 있습니다.

 

특히 최근에는 한국어로 제작된 해외 광고 배너가 다수 발견되고 있는 것도 하나의 특징입니다.

 

사용자 입장에서는 위와 같은 증상이 발생할 경우 제어판에 등록된 광고 프로그램을 찾거나 보안 제품을 통해 검사를 해보지만 상당수 광고 프로그램은 진단이 이루어지지 않고 있습니다.

 

Google Chrome 웹 브라우저에서 광고 배너가 노출되도록 구현할 수 있는 방법은 대부분이 "Chrome 맞춤설정 및 제어 → 도구 → 확장 프로그램(chrome://extensions/)"에 등록된 앱을 통해 이루어지며, 특히 "Chrome 웹 스토어에서 설치되지 않았습니다."라고 표시되는 앱일 가능성이 매우 높습니다.

이번 광고앱 역시 확장 프로그램에 등록된 "Flash Player 11" 앱을 삭제 처리해주면 더 이상 광고 동작을 할 수 없습니다.

 

국내 광고 프로그램 중에서는 일부 Google Chrome 웹 브라우저를 통해 인터넷 검색을 시도할 경우 광고 배너가 노출되도록 제작된 프로그램이 발견되고 있으며, 확장 프로그램 방식보다는 메모리에 상주하는 광고 프로그램 프로세스를 통해 이루어지고 있습니다.

 

그러므로 해외 사이트 이용시 호기심에 파일을 다운로드하여 보안 제품에서 진단하지 않는다는 이유로 파일을 함부로 실행하여 피해를 보는 일이 없도록 각별히 주의하시기 바랍니다.

 

 

728x90
반응형