DDoS 공격 목적의 프로그램을 불법적으로 유포하는 특정 네이버(Naver) 블로그를 살펴보던 중 리그 오브 레전드(League of Legends) 게임의 챔피언을 빠르게 지정할 수 있는 기능을 가진 일명 선픽(오토픽) 프로그램이 눈에 띄어 확인을 해보았습니다.
그런데 특이하게도 최신 버전이 국내 광고 업체 디지털 서명을 포함하고 있으며, 광고 관련 기능이 포함되어 있기에 자세하게 살펴보도록 하겠습니다.
문제의 블로그에는 리그 오브 레전드(League of Legends) 게임을 이용하는데 편의를 주기 위한 선픽(오토픽) 프로그램으로 소개된 "누구보다 빠르게" 파일을 ZIP 압축 파일 형태로 첨부하여 공개하고 있습니다.
다운로드된 ZIP 압축 파일 내부에 존재하는 실행 파일(누구보다 빠르게.exe)은 2.5.2 버전으로 디지털 서명이 포함되어 있지 않은 포터블 방식으로 배포가 이루어지고 있습니다.
특히 해당 파일<SHA-1 : 75d1886fc75b0e89ea5602305ff5e0024121415b - AhnLab V3 : Trojan/Win32.Writos.C178576 (VT : 37/52)>에 대하여 국내외 보안 제품 다수가 악성 파일로 진단을 하고 있으며, 이는 파일 실행시 외부에 등록된 파일을 몰래 다운로드 시도를 하는 것으로 보아 언제든지 악의적 기능을 수행할 수 있기 때문으로 판단됩니다.
또한 파일 실행시 자동 업데이트 체크 기능을 통해 상위 버전(2.5.3 버전)을 체크하여 특정 티스토리(Tistory) 블로그가 자동으로 오픈되도록 구성되어 있습니다.
현재 최상위 버전(2.5.3 버전)은 기존의 포터블 방식이 아닌 Setup 방식으로 변경되었으며, 광고 업체가 스폰서로 참여함에 따라 디지털 서명까지 포함된 다소 쉽게 볼 수 없는 구조를 가지고 있습니다.
해당 티스토리(Tistory) 블로그에서 제공하는 설치 파일(SHA-1 : 96b187d582e30c7fe75e89ff8d017ebb4d817ada)에는 bumone 디지털 서명이 포함되어 있으며, 해당 인증서는 WindowsOptimize 검색 도우미 프로그램에서 사용되고 있는 것으로 확인되고 있습니다.
설치 파일을 이용하여 설치를 진행하는 단계에서는 이용약관이 포함되어 있으며, 자동 업데이트 기능을 통해 추가적인 프로그램 설치가 가능하다는 점을 언급하고 있습니다.
특히 이용약관 하단 영역에서는 광고 기능이 포함할 수 있는 근거를 위해 부가 서비스 기능에 대한 항목을 추가했으며, 사용자가 쉽게 인지할 수 없는 희미한 글씨를 통해 "제휴 서비스 보기" 문구를 클릭할 경우 추가적으로 설치되는 광고 프로그램에 대한 부분을 확인할 수 있는데 현재는 포함되어 있지 않은 것으로 판단됩니다.
위와 같은 이용약관 제시 단계에서는 설치 파일은 WindowsOptimize 광고 서버에서 스폰서 프로그램에 대한 정보를 체크하는 부분을 확인할 수 있으며, 설치 파일 구조상 광고 프로그램이 포함되어 있다면 필수적으로 함께 설치가 이루어질 것으로 보입니다.
프로그램 설치가 진행되면 WindowsOptimize 광고 서버에서 "누구보다 빠르게(fasterthananyone)" 설치 파일(SHA-1 : d09d8f27c64e05610121894bc8dc82acf29075cd)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\fasterthananyone_setup.exe" 파일로 생성하여 설치가 진행됩니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\fasterthananyone_setup.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\fasterthananyone.dat
C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone
C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyone.dt
C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyonepick.exe :: "누구보다 빠르게" 프로그램 실행 파일
C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyoneuninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyoneUp.exe :: 시작 프로그램(fasterthananyoneUpdate) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyoneUpch.exe :: 시작 프로그램(fasterthananyoneUpCh) 등록 파일
C:\Users\(사용자 계정)\Desktop\누구보다 빠르게.lnk
bumone 디지털 서명이 포함된 해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone" 폴더에 파일을 생성하며, 바탕 화면에 생성된 "누구보다 빠르게" 바로가기 아이콘을 클릭시 "C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyonepick.exe" 파일(SHA-1 : 8a976b529af8067bfc98de654ca394c6aa065b64)을 실행하도록 구성되어 있습니다.
바로가기 아이콘을 실행하면 특정 네이버(Naver) 블로그의 게시글을 체크하여 버전 정보를 확인하는 것을 확인할 수 있습니다.
이후 리그 오브 레전드(League of Legends) 웹 사이트 체크와 함께 특정 웹 호스팅 서버에 등록된 공지 정보를 불러옵니다.
- C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\Image
- C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\recom.ini
- C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\SaveF.ini
이를 통해 폴더 및 이미지 파일 등의 추가적인 파일을 생성하며 "누구보다 빠르게" 프로그램이 위와 같이 동작합니다.
그렇다면 "누구보다 빠르게" 프로그램이 설치되는 과정에서 함께 생성된 파일의 기능에 대해 살펴보도록 하겠습니다.
해당 프로그램은 Windows 시작시 다음 2개의 시작 프로그램 등록값을 통해 자동 실행되도록 구성되어 있습니다.
- fasterthananyoneUpCh = C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyoneUpCh.exe
- fasterthananyoneUpdate = C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyoneUp.exe
1. fasterthananyoneUpCh 시작 프로그램 등록값
Windows 시작시 fasterthananyoneUpCh 시작 프로그램 등록을 통해 "C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyoneUpCh.exe" 파일(SHA-1 : 3e8fa942453ed3f6569dc832154d8908a7496431)을 자동 실행합니다.
자동 실행된 파일은 "C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyoneUp.exe" 파일을 오픈하는 기능을 수행하며 자동 종료 처리됩니다.
2. fasterthananyoneUpdate 시작 프로그램 등록값
Windows 시작시 fasterthananyoneUpdate 시작 프로그램 등록을 통해 "C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyoneUp.exe" 파일(SHA-1 : 92229f531d463bbed29b2134327654f9e6640af0)을 자동 실행합니다.
자동 실행된 파일은 WindowsOptimize 광고 서버에서 fasterthananyonepick.exe, fasterthananyoneuninstall.exe, fasterthananyoneUp.exe, fasterthananyoneUpch.exe 파일에 대한 버전 정보를 체크합니다.
또한 업데이트 기능을 통해 추가적인 스폰서 프로그램 다운로드가 가능한 것으로 추정되며, 테스트 시점에서는 제휴 프로그램은 확인되지 않고 있습니다.
프로그램 삭제는 제어판에 등록된 "fasterthananyone" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 제어판에 등록된 "fasterthananyone" 삭제 항목이 제거되지 않는 문제가 발견되고 있습니다.
그러므로 프로그램 삭제 후 "fasterthananyone" 삭제 항목을 1회 더 실행하여 생성된 오류창에서 "예(Y)" 버튼을 클릭하여 제거하시기 바라며, 추가적으로 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Local\Temp\fasterthananyone_setup.exe
- C:\Users\(사용자 계정)\AppData\Local\Temp\fasterthananyone.dat
- C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone
또한 레지스트리 편집기(regedit)를 실행하여 다음의 삭제되지 않은 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- fasterthananyoneUpCh = C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyoneUpCh.exe
- fasterthananyoneUpdate = C:\Users\(사용자 계정)\AppData\Roaming\fasterthananyone\fasterthananyoneUp.exe
이번 사례와 같이 온라인 게임의 편의를 위해 무료(?)로 공개된 프로그램을 통해 수익을 얻기 위한 광고업체와의 제휴 모습을 엿볼 수 있었으며, 이를 통해 차후 사용자들이 원치않는 불필요한 프로그램(PUP)이 설치될 수 있다는 점에서 주의하시기 바랍니다.
Update : 추가된 제휴 프로그램 관련 이슈 (2015.2.2)
League of Legends 선틱 프로그램 설치시 추가된 국내 광고 프로그램 설치 관련 이슈는 현재 완전히 제거된 상태로 배포가 이루어지고 있다고 프로그램 제작자분이 전달해 주셨음을 밝힙니다.
그러므로 공식 배포처에서 제공하는 프로그램(압축 파일)을 이용하더라도 광고 프로그램 설치 문제는 발생하지 않습니다.