몇 개월 전부터 자신도 모르게 Opera 웹 브라우저가 설치되어 삭제에 어려움을 겪는 분들의 문의가 있었으며, Chrome 웹 브라우저와 마찬가지로 다양한 외부 소프트웨어의 제휴 프로그램 방식으로 배포가 이루어지고 있었을 것으로 추정됩니다.
그런데 일부 배포 방식에서 사용자가 인지하기 매우 어렵거나 반강제적으로 설치되는 부분이 확인되어 설치 방식을 자세하게 살펴보도록 하겠습니다.
파일 다운로드를 목적으로 인터넷 검색을 통해 특정 사이트에 접속할 경우 다운로드 버튼(Download Now!)을 통해 파일을 제공하는 것처럼 구성되어 있습니다.
다운로드 URL 주소를 확인해보면 러시아(.ru)에 위치한 웹 서버를 통해 파일 다운로드가 진행되도록 구성되어 있으며, 다운로드 진행시 페이지가 전환되어 몇 초 이내에 파일이 자동으로 다운로드 됩니다.
만약 최초 다운로드 완료 후 재접속하여 다운로드를 진행할 경우 IP 체크를 통해 자동으로 특정 검색 서비스로 연결되어 파일 다운로드가 이루어지지 않도록 제작되어 있습니다.
다운로드된 파일은 쉽게 볼 수 없는 ACE 압축 확장명을 가지고 있으며, 내부 코드를 확인해보면 RAR 압축 포맷이므로 변경하여 내부에 압축된 EXE 실행 파일(※ 디지털 서명 : KASHTAN OOO)을 추출할 수 있습니다.
- panda ransomware decrypt_10924_i84437029_il345.exe (SHA-1 : 60ec906a32c9707e087d59c6a8a8c20ccc692d5e) - ESET : a variant of Win32/Amonetize.LM potentially unwanted
참고로 해당 압축 파일은 파일 다운로드시마다 해시(Hash)값 변경을 통해 백신 진단을 우회하려는 것으로 보입니다.
EXE 실행 파일을 가상 환경에서 실행할 경우 "Sorry, this application cannot run under a Virtual Machine." 메시지를 통해 리얼 환경에서만 설치되도록 분석을 방해하도록 제작되어 있습니다.
- C:\Users\(사용자 계정)\AppData\Local\Temp\panda+ransomware+decrypt+__10924_i1741968713_il1303271.exe (SHA-1 : 4a4ec1270818189c45957f36640f08eedbd50775) - AhnLab V3 365 Clinic : PUP/win32.Amonetize.R167448
정상적으로 파일 실행이 이루어질 경우 임시 폴더에 EXE 파일(1번) 생성 및 바탕 화면에 다음과 같은 바로가기 아이콘을 추가합니다.
바탕 화면에 생성된 "Continue installation" 바로가기 아이콘은 임시 폴더에 생성된 EXE 파일(1번)을 실행하도록 연결되어 있습니다.
이를 통해 생성된 설치 화면에서는 "Express Install (Recommended)" 기본 설정값 그대로 진행할 경우 CinemaPlus (CinemaP-1.9cV09.11), Oursurfing 등의 해외 광고 프로그램이 자동으로 설치될 수 있습니다.
만약 사용자가 광고 프로그램을 제외할 목적으로 "Custom Install (Expert)" 설정으로 변경한 후 체크 박스를 해제할 경우 CinemaPlus (CinemaP-1.9cV09.11), Oursurfing 광고 프로그램의 설치가 제거된 것처럼 팝업창을 띄우지만 실제로는 체크 박스는 해제되지 않는 눈속임입니다.
또한 기본 설정값의 스크롤바를 내려볼 경우 "Additional offers: Opera will be suggested" 항목을 통해 Opera 웹 브라우저는 필수적으로 설치되도록 배포가 이루어지고 있음을 알 수 있습니다.
현명한 사용자일 경우 자신이 다운로드하여 실행한 파일이 해외 광고 프로그램 배포 목적으로 제작되었음을 인지하여 더 이상의 진행을 하지 않을 목적으로 설치 화면의 좌측 하단에 희미하게 표시된 "Close" 버튼을 클릭할 경우 다음과 같은 메시지 창을 생성합니다.
Are you sure?
You are about to exit the installation. Click OK to Exit and install DownloadManagerModern including other optional program.
메시지에서는 "OK" 버튼을 클릭할 경우 설치 종료가 이루어지지만 제휴 프로그램과 함께 DownloadManagerModern 설치가 진행된다고 안내하고 있으며, 메시지를 제대로 이해하였다면 "Cancel" 버튼을 클릭해야 할 것입니다.
만약 사용자가 메시지 내용을 잘 이해하고 취소(Cancel) 버튼을 클릭할 경우에도 실행된 EXE 파일(1번)은 외부 서버와 통신을 시도하여 "Download Assistant" 디지털 서명이 포함된 "C:\Users\(사용자 계정)\AppData\Local\Temp\setup.exe" 파일<SHA-1 : a55a8285366e8ebf4f597fd01c3841d5746f6242 - Kaspersky : not-a-virus:HEUR:Downloader.Win32.DownloadAsist.gen>을 생성하여 실행되며, 이후에는 진행 과정에서 오류 페이지로 연결하여 더 이상의 진행은 이루어지지 않는 것으로 확인되고 있습니다.
만약 사용자의 부주의로 인하여 다수의 광고 프로그램과 함께 설치에 동의할 경우 Opera 웹 브라우저를 비롯한 최소 4종의 해외 광고 프로그램이 설치되는 것을 확인할 수 있었습니다.
특히 다른 해외 광고 프로그램은 백신 프로그램에서 불필요한 프로그램(PUP)으로 진단(차단)이 이루어질 수 있는 반면 Opera 웹 브라우저의 경우에는 프로그램 자체는 진단 대상이 아니므로 정상적으로 설치됩니다.
하지만 비정상적인 배포 방식을 이용하여 사용자가 제대로 인지하지 못하는 과정에서 설치된 Opera 웹 브라우저를 선호하는 사용자는 거의 없을 것으로 생각되며, 삭제를 위해서는 제어판에 등록된 "Opera Stable (버전 정보)" 삭제 항목을 이용하여 제거를 진행하시면 됩니다.
일부 제어판을 통한 삭제가 이루어지지 않는다는 문의가 있었지만 삭제시 Opera 웹 브라우저를 완전히 종료한 후 "내 Opera 사용자 데이터 삭제" 항목에 체크한 후 진행하시면 되며, 프로그램 삭제 후에는 다음의 폴더를 찾아 제거하시기 바랍니다.
- C:\Program Files (x86)\Opera
- C:\Users\(사용자 계정)\AppData\Local\Opera Software
- C:\Users\(사용자 계정)\AppData\Roaming\Opera Software
최근 국내 인터넷 사용자 중에서는 국내 광고 프로그램 뿐 아니라 해외 광고 프로그램까지 설치되어 고생하는 안타까운 모습을 많이 보는데 프로그램 설치시 제시된 영어는 중등 교육을 받으셨다면 대체로 이해 가능한 수준이므로 무조건 버튼을 클릭하여 원치않는 불필요한 프로그램(PUP)이 설치되는 일이 없도록 주의하시기 바랍니다.
■ 불필요한 프로그램(PUP) 대응 방법
진단 정책 또는 다양한 변종으로 인하여 1~2종의 백신 프로그램으로 효과적으로 악성 파일 실행을 차단할 수 없을 수 있습니다.
그러므로 파일 실행시 40여종의 다중 백신 엔진을 사용하면서도 매우 가볍게 악성 파일을 차단할 수 있는 앱체크(AppCheck) 보조 백신을 백신 프로그램과 함께 사용하시면 더욱 안전하게 PC를 보호할 수 있습니다.
☞ 해외 가짜 Softpedia 파일 자료실을 통한 악성 프로그램 설치 주의 (2014.6.7)
☞ Google Docs를 악용한 해외 광고 프로그램 유포 사례 (2015.5.9)
☞ 가상(VM) 환경에서는 노출되지 않는 InstallCore 해외 광고 프로그램 사례 (2015.5.16)
☞ Chrome 웹 브라우저의 다운로드 기록을 우회하는 InstallCore 해외 광고 프로그램 유포 방식 (2015.10.18)