728x90
반응형
해외 성인 사이트를 방문하다보면 위와 같이 해당 사이트에서 제공하는 동영상 플레이어(Player)를 접할 때가 있습니다.
사람의 호기심을 자극하는 유혹에 맛보기로 해당 플레이어를 다운로드하여 실행하면서 자신도 모르게 피해를 당할 수 있습니다.
해외에서 배포되는 Hot-TV Player를 통해 어떤 다양한 일이 일어나는지 살펴보겠습니다.
프로그램을 다운로드하여 설치를 시작하면 초기 화면에 해당 프로그램에 대한 이용약관이 있습니다.
해당 프로그램에 대한 설명 중에 이 프로그램은 Favorit Network에서 제공하는 광고가 삽입된 애드웨어 제품임을 알 수 있습니다. 하지만 실제 설치하는 사람들은 유심하게 살펴보지 않는게 특징입니다.
설치의 다음 단계는 없습니다. 바로 위와 같이 플레이어가 동작하면서 특정 서버와 연결하여 음란 동영상을 바로 제공하고 있습니다.
그렇다면 무엇이 문제일까요? 먼저 해당 Hot-TV Player 설치 파일을 보안 제품을 통해 검사를 해 보았습니다.
[HotTV.exe]
진단명으로 유추해 보면 해당 설치 파일은 무엇인가 추가적으로 다운로드를 할 수 있는 드랍퍼로 보입니다. 실제 해당 프로그램은 광고가 설치될 수 있는 애드웨어라고 이용약관에 밝히고 있습니다.
Antivirus | Version | Last Update | Result |
AhnLab-V3 | 2008.10.10.1 | 2008.10.10 | - |
AntiVir | 7.8.1.34 | 2008.10.12 | - |
Authentium | 5.1.0.4 | 2008.10.12 | - |
Avast | 4.8.1248.0 | 2008.10.12 | - |
AVG | 8.0.0.161 | 2008.10.12 | - |
BitDefender | 7.2 | 2008.10.13 | - |
CAT-QuickHeal | 9.50 | 2008.10.11 | - |
ClamAV | 0.93.1 | 2008.10.13 | - |
DrWeb | 4.44.0.09170 | 2008.10.13 | - |
eSafe | 7.0.17.0 | 2008.10.12 | - |
eTrust-Vet | 31.6.6141 | 2008.10.10 | - |
Ewido | 4.0 | 2008.10.12 | - |
F-Prot | 4.4.4.56 | 2008.10.12 | - |
F-Secure | 8.0.14332.0 | 2008.10.13 | - |
Fortinet | 3.113.0.0 | 2008.10.12 | - |
GData | 19 | 2008.10.13 | - |
Ikarus | T3.1.1.34.0 | 2008.10.13 | Generic.Trojan-Dropper.SEH |
K7AntiVirus | 7.10.491 | 2008.10.11 | - |
Kaspersky | 7.0.0.125 | 2008.10.13 | - |
McAfee | 5403 | 2008.10.11 | - |
Microsoft | 1.4005 | 2008.10.13 | - |
NOD32 | 3516 | 2008.10.13 | - |
Norman | 5.80.02 | 2008.10.10 | - |
Panda | 9.0.0.4 | 2008.10.12 | - |
PCTools | 4.4.2.0 | 2008.10.12 | - |
Prevx1 | V2 | 2008.10.13 | - |
Rising | 20.65.42.00 | 2008.10.10 | - |
SecureWeb-Gateway | 6.7.6 | 2008.10.12 | Worm.Win32.Malware.gen!50 (suspicious) |
Sophos | 4.34.0 | 2008.10.13 | - |
Sunbelt | 3.1.1719.1 | 2008.10.13 | - |
Symantec | 10 | 2008.10.13 | - |
TheHacker | 6.3.1.0.108 | 2008.10.11 | - |
TrendMicro | 8.700.0.1004 | 2008.10.10 | - |
VBA32 | 3.12.8.6 | 2008.10.12 | - |
ViRobot | 2008.10.10.1416 | 2008.10.10 | - |
VirusBuster | 4.5.11.0 | 2008.10.12 | - |
Additional information | |||
File size: 571972 bytes | |||
MD5...: 1eeec954686fb3c5e83ad3e9ab382e4d | |||
SHA1..: ed06d01a4cb65bf04f9695c0c2365965b686ae92 |
진단명으로 유추해 보면 해당 설치 파일은 무엇인가 추가적으로 다운로드를 할 수 있는 드랍퍼로 보입니다. 실제 해당 프로그램은 광고가 설치될 수 있는 애드웨어라고 이용약관에 밝히고 있습니다.
다음으로 해당 플레이어가 설치된 경로를 살펴 보겠습니다.
실제 해당 프로그램은 초기에 이용약관을 제시하는 것 외에는 설치 과정을 전혀 제공하지 않는 것으로 보아 마치 단독 실행 파일처럼 보입니다.
하지만 실제 설치된 경로를 보시면 프로그램은 일반적인 %Program Files% 경로가 아닌 사용자 계정 폴더 깊숙히 숨어 있습니다.
[gopiqq.exe]
진단명으로 봐서 광고가 삽입된 애드웨어 또는 사용자 컴퓨터에서 특정 정보를 수집하는 스파이웨어로 진단하고 있습니다.
Antivirus | Version | Last Update | Result |
AhnLab-V3 | 2008.10.10.1 | 2008.10.10 | - |
AntiVir | 7.8.1.34 | 2008.10.12 | - |
Authentium | 5.1.0.4 | 2008.10.12 | - |
Avast | 4.8.1248.0 | 2008.10.12 | - |
AVG | 8.0.0.161 | 2008.10.12 | - |
BitDefender | 7.2 | 2008.10.13 | - |
CAT-QuickHeal | 9.50 | 2008.10.13 | - |
ClamAV | 0.93.1 | 2008.10.13 | - |
DrWeb | 4.44.0.09170 | 2008.10.13 | - |
eSafe | 7.0.17.0 | 2008.10.12 | - |
eTrust-Vet | 31.6.6141 | 2008.10.10 | - |
Ewido | 4.0 | 2008.10.12 | - |
F-Prot | 4.4.4.56 | 2008.10.12 | - |
F-Secure | 8.0.14332.0 | 2008.10.13 | - |
Fortinet | 3.113.0.0 | 2008.10.13 | - |
GData | 19 | 2008.10.13 | - |
Ikarus | T3.1.1.34.0 | 2008.10.13 | - |
K7AntiVirus | 7.10.491 | 2008.10.11 | - |
Kaspersky | 7.0.0.125 | 2008.10.13 | - |
McAfee | 5403 | 2008.10.11 | - |
Microsoft | 1.4005 | 2008.10.13 | - |
NOD32 | 3516 | 2008.10.13 | - |
Norman | 5.80.02 | 2008.10.10 | - |
Panda | 9.0.0.4 | 2008.10.12 | - |
Rising | 20.65.42.00 | 2008.10.10 | - |
SecureWeb-Gateway | 6.7.6 | 2008.10.12 | Ad-Spyware.LooksLike.NaviPromo |
Sophos | 4.34.0 | 2008.10.13 | - |
Sunbelt | 3.1.1719.1 | 2008.10.13 | - |
Symantec | 10 | 2008.10.13 | - |
TheHacker | 6.3.1.0.108 | 2008.10.11 | - |
TrendMicro | 8.700.0.1004 | 2008.10.10 | - |
VBA32 | 3.12.8.6 | 2008.10.12 | - |
ViRobot | 2008.10.10.1416 | 2008.10.10 | - |
VirusBuster | 4.5.11.0 | 2008.10.12 | - |
Additional information | |||
File size: 294912 bytes | |||
MD5...: c14a5db81ff598f1e4028c3cbf1ff8eb | |||
SHA1..: 1808c232bfba425632eb3b3821d12fc7d48a412a |
진단명으로 봐서 광고가 삽입된 애드웨어 또는 사용자 컴퓨터에서 특정 정보를 수집하는 스파이웨어로 진단하고 있습니다.
마지막으로 해당 프로그램의 플레이어가 시행되면서 특정 웹 사이트를 웹 브라우저를 통해 구현을 합니다.
사용자 컴퓨터를 몰래 훔쳐보는 스파이웨어와 같은 악의적인 파일을 검사하기 위해 무료로 프로그램을 다운로드하여 검사를 하라는 광고가 나오고 있습니다.
실제 해당 보안 제품을 다운로드하여 설치를 해 보면 매우 정상적인 프로그램처럼 위장하고 있습니다.
하지만 설치 과정에서 안철수연구소 스파이제로(SpyZero)에서 Win-Adware/Rogue.SpywareSecure.601600 진단명으로 해당 제품을 진단하고 있습니다.
[SpywareSecure_trial_setup.exe] - 설치 파일
Antivirus | Version | Last Update | Result |
AhnLab-V3 | 2008.10.10.1 | 2008.10.10 | - |
AntiVir | 7.8.1.34 | 2008.10.12 | - |
Authentium | 5.1.0.4 | 2008.10.12 | - |
Avast | 4.8.1248.0 | 2008.10.12 | - |
AVG | 8.0.0.161 | 2008.10.12 | WinFixer.AWQ |
BitDefender | 7.2 | 2008.10.13 | - |
CAT-QuickHeal | 9.50 | 2008.10.11 | - |
ClamAV | 0.93.1 | 2008.10.13 | - |
DrWeb | 4.44.0.09170 | 2008.10.13 | - |
eSafe | 7.0.17.0 | 2008.10.12 | - |
eTrust-Vet | 31.6.6139 | 2008.10.09 | - |
Ewido | 4.0 | 2008.10.12 | - |
F-Prot | 4.4.4.56 | 2008.10.12 | - |
F-Secure | 8.0.14332.0 | 2008.10.13 | - |
Fortinet | 3.113.0.0 | 2008.10.12 | - |
GData | 19 | 2008.10.13 | - |
Ikarus | T3.1.1.34.0 | 2008.10.13 | - |
K7AntiVirus | 7.10.491 | 2008.10.11 | not-a-virus:AdWare.Win32.NaviPromo.ao |
Kaspersky | 7.0.0.125 | 2008.10.13 | - |
McAfee | 5403 | 2008.10.11 | - |
Microsoft | 1.4005 | 2008.10.13 | Program:Win32/SpywareSecure |
NOD32 | 3516 | 2008.10.13 | - |
Norman | 5.80.02 | 2008.10.10 | - |
Panda | 9.0.0.4 | 2008.10.12 | - |
PCTools | 4.4.2.0 | 2008.10.12 | - |
Prevx1 | V2 | 2008.10.13 | - |
Rising | 20.65.42.00 | 2008.10.10 | - |
SecureWeb-Gateway | 6.7.6 | 2008.10.12 | - |
Sophos | 4.34.0 | 2008.10.13 | Spy-Sec |
Sunbelt | 3.1.1719.1 | 2008.10.13 | - |
Symantec | 10 | 2008.10.13 | - |
TheHacker | 6.3.1.0.108 | 2008.10.11 | - |
TrendMicro | 8.700.0.1004 | 2008.10.10 | - |
VBA32 | 3.12.8.6 | 2008.10.12 | - |
ViRobot | 2008.10.10.1416 | 2008.10.10 | - |
VirusBuster | 4.5.11.0 | 2008.10.12 | - |
Additional information | |||
File size: 673469 bytes | |||
MD5...: 761b877a6b5fbadc1a182e8be4b6a460 | |||
SHA1..: 26272914d76ec1f677e82b928097ab487ee735e9 |
[Spyware-Secure_trial.exe] - 설치 후 실행 파일
Antivirus | Version | Last Update | Result |
AhnLab-V3 | 2008.10.10.1 | 2008.10.10 | - |
AntiVir | 7.8.1.34 | 2008.10.12 | - |
Authentium | 5.1.0.4 | 2008.10.12 | - |
Avast | 4.8.1248.0 | 2008.10.12 | - |
AVG | 8.0.0.161 | 2008.10.12 | WinFixer.AWQ |
BitDefender | 7.2 | 2008.10.13 | - |
CAT-QuickHeal | 9.50 | 2008.10.13 | (Suspicious) - DNAScan |
ClamAV | 0.93.1 | 2008.10.13 | - |
DrWeb | 4.44.0.09170 | 2008.10.13 | - |
eSafe | 7.0.17.0 | 2008.10.12 | - |
eTrust-Vet | 31.6.6141 | 2008.10.10 | - |
Ewido | 4.0 | 2008.10.12 | Not-A-Virus.PUP.SpywareSecure |
F-Prot | 4.4.4.56 | 2008.10.12 | - |
F-Secure | 8.0.14332.0 | 2008.10.13 | - |
Fortinet | 3.113.0.0 | 2008.10.13 | Misc/WinFixer |
GData | 19 | 2008.10.13 | - |
Ikarus | T3.1.1.34.0 | 2008.10.13 | - |
K7AntiVirus | 7.10.491 | 2008.10.11 | - |
Kaspersky | 7.0.0.125 | 2008.10.13 | - |
McAfee | 5403 | 2008.10.11 | potentially unwanted program WinFixer |
Microsoft | 1.4005 | 2008.10.13 | Program:Win32/SpywareSecure |
NOD32 | 3516 | 2008.10.13 | - |
Norman | 5.80.02 | 2008.10.10 | W32/SpywareSecure.C |
Panda | 9.0.0.4 | 2008.10.12 | - |
PCTools | 4.4.2.0 | 2008.10.12 | - |
Prevx1 | V2 | 2008.10.13 | - |
Rising | 20.65.42.00 | 2008.10.10 | - |
SecureWeb-Gateway | 6.7.6 | 2008.10.12 | - |
Sophos | 4.34.0 | 2008.10.13 | Spy-Sec |
Sunbelt | 3.1.1719.1 | 2008.10.13 | - |
Symantec | 10 | 2008.10.13 | - |
TheHacker | 6.3.1.0.108 | 2008.10.11 | - |
TrendMicro | 8.700.0.1004 | 2008.10.10 | - |
VBA32 | 3.12.8.6 | 2008.10.12 | - |
ViRobot | 2008.10.10.1416 | 2008.10.10 | - |
VirusBuster | 4.5.11.0 | 2008.10.12 | - |
Additional information | |||
File size: 601600 bytes | |||
MD5...: 6116dd745a0182c7873d3f799934e204 | |||
SHA1..: 249cd19005175c1cd76063a65d4754edcd125ed2 |
※ K7AntiVirus 제품의 경우에는 설치 파일은 진단하지만 실제로 해당 프로그램이 설치된 상태에서는 진단하지 못하는 모순을 가지고 있습니다. 이런 경우에는 해당 허위 보안 제품에 감염되어서 이것을 치료하기 위해 K7AntiVirus을 이용할 때에는 무용지물이라는 뜻입니다.
실제 해당 허위 보안 제품을 제작한 웹 사이트를 방문해 보았습니다.
해당 웹 사이트는 마이크로소프트사에 안전하지 않은 사이트로 보고되어 차단되어 있는 상태입니다.
이번의 경우 우리가 주목해야 할 점은 성인 사이트에서 제공하는 무료 성인 동영상이라는 미끼를 통해 설치되는 광고와 허위 보안 제품을 통해 금전적인 이득을 노리고 있다는 점입니다.
인터넷 상에서 퍼져 있는 음란 동영상을 통해 플레이어를 설치하게 유도하며 실제 플레이어는 사용자 컴퓨터 깊숙히 숨겨서 삭제를 방해하고 여기서 출발된 각종 광고와 허위 보안 제품으로 사용자 컴퓨터를 괴롭히는 이와 같은 방식은 누구를 탓할 수도 없게 만듭니다.
사람의 호기심을 이용한 각종 악성코드로 부터 자신의 컴퓨터를 지키기 위해서는 기술적인 부분을 넘어선 이성적인 컴퓨터 사용 습관도 필요하다고 볼 수 있습니다.
728x90
반응형