본문 바로가기
벌새::Analysis

"freedownloade.net" 서버를 이용한 국내 애드웨어 유포 사례 (2014.2.25)

벌새 2014. 2. 25. 21:11
반응형

네이버(Naver) 지식인 답변을 통해 특정 블로그에 게시된 링크를 통해 사용자가 원하는 프로그램을 다운로드할 수 있도록 홍보하면서 다양한 제휴 프로그램을 설치하는 유포 사례를 살펴보도록 하겠습니다.

예를 들어 마인크래프트 1.5.2 설치 파일을 원하는 질문글에 답변을 통해 특정 티스토리(Tistory) 블로그 링크를 통해 접속을 유도하며, 해당 블로그에서는 마인크래프트 및 자바(Java) 관련 파일을 다운로드할 수 있는 링크가 포함되어 있습니다.

 

해당 링크의 주소를 자세히 살펴보면 "freedownloade.net/marks/(배포 식별 변수)/down/(파일명).exe" 형태를 가지고 있는 특징이 있습니다.

링크를 통해 제공되는 파일 다운로드를 시도할 경우 AhnLab V3 365 Clinic 3.0 보안 제품에서는 "불필요한 사이트(PUS) 접근 차단"을 통해 차단이 이루어지고 있으며, 해당 사이트는 2013년 5월 하순경부터 발견되고 있습니다.

"freedownloade.net" 도메인을 확인해보면 외부에서는 어떤 사이트인지 알 수 없지만, 위의 증거를 통해 추정해보면 다양한 파일을 배포하는 파일 자료실로 이용되고 있는 것으로 보입니다.

"Tech Joy Co." 디지털 서명이 포함된 다운로드한 마인크래프트 1.5.2 파일(Minecraft_1.5.2_download.exe - SHA-1 : 91dc268ff010a4f8f7ed7b051b9b5658b58c2c28)의 평판 정보를 확인해보면 2013년 12월 26일부터 발견되고 있으며 최소 50,000대 이상의 PC에서 발견된 파일로 보입니다.

해당 파일을 의심없이 실행할 경우 "마인크래프트 v1.5.2 다운로드" 창이 생성되어 파일을 다운로드하도록 유도하고 있으며, 다운로드 목록의 스크롤바를 내릴 경우 11종의 제휴 프로그램이 포함되어 있는 것을 발견할 수 있습니다.

 

위와 같은 다운로더 창을 통해 추가된 제휴 프로그램 목록을 체크 해제하지 않은 상태로 다운로드를 진행할 경우 자동으로 원치않는 불필요한 프로그램(PUP)이 설치되어 PC 사용에 심각한 불편을 유발할 수 있습니다.

 

  1. h**p://update.****cleaner.co.kr/set/autocleanersetup_fastrealm.exe (SHA-1 : 77234ae5c9ba149fb0ca0bd08c3da1a7f5508053) - AhnLab V3 : PUP/Win32.PowerBoan (VT : 30/48)
  2. h**p://down.***wordinfo.co.kr/ISZoneSetup_66_hide.exe (SHA-1 : 748b2bb4c3f3d14561c6477ce9466b270317b6ef) - AhnLab V3 : PUP/Win32.Helper (VT : 5/48)
  3. h**p://a*7*.co.kr/keypang/hk3/ikeypang.exe (SHA-1 : 638460c6e6b62fd9b05ac1bfb514e45bdae46004) - AhnLab V3 : PUP/Win32.KeyPang (VT : 18/48)
  4. h**p://down.****realm.com/p_bepo/NetworkWidgetSetup_k10000.exe (SHA-1 : 7dcdc2a14922054c050e38f2c687789519e6003b) - AhnLab V3 : PUP/Win32.Helper (VT : 28/48)
  5. h**p://dn.plus****.com/setup_splus_h.exe (SHA-1 : 59f305d55fa21d134b3fe6b5485e820bd4cc5dad) - AhnLab V3 : PUP/Win32.KorAd (VT : 34/45)
  6. h**p://down.search******.co.kr/download/Searchline_nc_sline06_hinst.exe (SHA-1 : c46bc19b9a32a094e279d58e7f68932a62938dc2) - AhnLab V3 : PUP/Win32.Enumerate (VT : 26/50)
  7. h**p://down.***ssi.net/download/adInstall_ssi016.exe (SHA-1 : d2ed101889f895b8ba2d8fef8ca59beeb9db50d2) - ESET : a variant of Win32/AdWare.CloverPlus.AF (VT : 23/49)
  8. h**p://file.m**k.co.kr/app/windowstab/WindowsTabSetup_downrealm.exe (SHA-1 : 298f8b2a3f08b65110576d1ddffbf74f37eb0b4b) - AhnLab V3 : PUP/Win32.WindowsTap (VT : 35/50)
  9. h**p://down.****viewer.com/setup_nid006_silent.exe (SHA-1 : e3821a5fbc08a8a99782fa4381020a3191475e5c) - nProtect : Adware/W32.KrAdword.232112 (VT : 3/49)
  10. h**p://down.****realm.com/p_bepo/WinExpandSetup_downrealm.exe (SHA-1 : 16c2826095af241a81ce8cd7196380a43dc669e8) - AhnLab V3 : PUP/Win32.Winexpand (VT : 29/49)

참고로 "DownloadLauncher" 제휴 프로그램은 파일이 제거되어 다운로드가 이루어지지 않고 있습니다.

 

그러므로 블로그와 같은 신뢰할 수 없는 사용자가 제공하는 링크를 통해 파일 다운로드를 하지 않도록 주의하시기 바라며, 파일 실행을 통해 위와 같은 다운로더 창이 생성된 경우에는 함께 설치될 수 있는 제휴 프로그램이 숨어있는지 꼼꼼하게 확인하시기 바랍니다.

728x90
반응형

티스토리툴바