해외 사이트에서 노출되는 광고 배너 중에서는 접속자를 체크하여 한글로 표시되는 경우가 있음을 예전에 소개한 적이 있었습니다.
그런데 최근 한글화된 Adobe Flash Player 업데이트 광고 배너를 이용하여 Norton 360 백신 프로그램을 독특한 방식으로 설치하는 사례가 확인되어 살펴보도록 하겠습니다.
그림과 같이 "이 콘텐츠는 플래시 플레이어 업데이트가 필요합니다. 지금 설치 하시겠습니까?"라는 한글 광고 배너를 통해 클릭을 유도하고 있으며, 클릭시 "www.adnetworkperformance.com" 웹 서버를 경유하여 연결되도록 구성되어 있습니다.
- FlashVideoPlayer.exe (SHA-1 : a30f2c7fe8470eff3fbca3ef6f6ba0844f83a354) - AVG : AdGazelle.246 <디지털 서명 : VerifiedInstallation>
기본적으로 광고 배너를 통해 연결되는 사이트는 랜덤(Random)하게 다양한 광고 페이지 또는 "Flash Video Player"와 같은 프로그램 설치 유도 페이지로 구분할 수 있습니다.
이 글에서는 성능 향상을 목적으로 "Media Player Classic" 프로그램을 업데이트하도록 유도하는 MediaPlayerSetup.exe 파일<SHA-1 : 2166ab3ff181c32fa17b003ec859181699944c90 - ESET : a variant of Win32/InstallCore.AET potentially unwanted>을 살펴보도록 하겠습니다.
다운로드된 파일을 실행하면 "Media Player Classic" 프로그램 설치를 위한 4단계 진행 화면이 표시되고 있으며, 화면상에서는 해외 광고 프로그램을 설치할 목적으로 제작된 InstallCore 계열임을 알 수 있습니다.
1단계 화면이 생성된 상태에서 자동으로 "cdn.shynther103.com" 웹 서버로부터 자동으로 파일 다운로드를 시도하여 임시 폴더에 생성한 후 최종적으로 다운로드 폴더에 Flash_Player_Setup.exe 파일을 다운로드합니다.
참고로 Flash_Player_Setup.exe 파일은 4단계 설치 과정이 완료된 후 사용자에게 표시될 목적으로 노출시킬 VideoLAN 업체의 VLC media player 프로그램의 설치 파일입니다.
다음 단계인 2~3단계에서는 추가적인 해외 제휴 프로그램 설치를 유도하는 화면이 노출될 수 있으며, 사용자가 현명하게 "Skip All" 또는 "거부" 버튼을 클릭시에는 자동으로 설치하는 행위는 없습니다.
그런데 일련의 과정에서 Norton 360 백신 프로그램 설치를 안내하는 화면이 노출되어 어떤 방식으로 설치되는지 "I agree to install Norton AntiVirus 2014, and consent to its End User License Agreement and Privacy Policy." 동의 박스에 체크한 후 "동의함" 버튼을 클릭하여 진행해 보았습니다.
사용자가 제시된 특정 제휴 프로그램의 설치에 동의한 경우 또 다시 2단계로 전환되어 추가적인 제휴 프로그램 설치를 유도하며 이후 3단계에서는 백그라운드 방식으로 자동으로 Norton 360 백신 프로그램 다운로드 및 설치가 진행됩니다.
화면상에서는 Norton 360 백신 프로그램 다운로드 및 설치 화면은 전혀 표시되지 않으며 임시 폴더에 생성된 "C:\Users\(사용자 계정)\AppData\Local\Temp\ICSW_0P1F1E1T0J1T1C.exe" 파일(SHA-1 : 5a9958c2ace79076b850c5ea1ed104c2d917481b - AhnLab V3 365 Clinic : PUP/Win32.InstallCore.C868099)을 생성 및 실행되어 시스템 트레이 알림 아이콘 영역에 "Smart Wrapper" 아이콘을 생성합니다.
해당 아이콘을 오픈할 경우 "Smart Download" 창이 생성되어 다음과 같은 CDN 서버로부터 Norton 360 백신 프로그램(142MB)을 다운로드할 수 있습니다.
- h**p://cdneu.Jajajapa.com/ofr/Notonoronot/N360_6.0.0.145_SYMTB_PROMO_5_LOEM_MRFTT_318_7138-RU3.exe
- h**p://cdnus.Jajajapa.com/ofr/Notonoronot/N360_6.0.0.145_SYMTB_PROMO_5_LOEM_MRFTT_318_7138-RU3.exe
참고로 "Smart Wrapper" 파일 이력을 확인해보면 2015년 5월경부터 위와 같은 방식으로 활동한 것으로 판단됩니다.
실행 프로세스를 통해 일련의 Norton 360 백신 프로그램 설치 과정을 확인해보면 "Smart Wrapper" 다운로더 파일이 Norton 360 백신 프로그램을 다운로드 및 자동 실행하여 설치를 진행하며, 프로그램 설치시 화면상에서는 전혀 표시되지 않도록 "/quiet /qn" 명령어를 사용하고 있습니다.
이를 통해 최종적으로 Norton 360 백신 프로그램이 설치 완료된 후 자동 실행되어 화면에 노출된 것을 알 수 있습니다.
위와 같은 제휴 프로그램 설치 과정에서 사용자 몰래 "Media Player Classic Packages" 프로그램을 자동으로 설치하며, 프로그램 이름으로는 멀티미디어 재생 프로그램 관련 프로그램처럼 오해를 할 수 있지만 전혀 다른 기능을 수행합니다.
C:\Users\(사용자 계정)\AppData\Roaming\0P1F1E1T0J1T1C\Media Player Classic Packages\uninstaller.exe
- SHA-1 : 1f8b6eb234cefa2929576f6bf03006071371b866
- Malwarebytes : PUP.Optional.InstallCore
"Media Player Classic Packages" 프로그램은 uninstaller.exe 파일명을 가진 1개의 파일로 구성되어 있으며, 파일명을 통해서는 프로그램 삭제 기능을 수행하는 것 같지만 "Installer Setup" 파일 속성값처럼 숨어있는 기능이 포함되어 있습니다.
제어판에 표시된 "Media Player Classic Packages" 삭제 항목을 클릭할 경우 "Uninstall Manager" 창이 생성되어 "Smart Wrapper" 다운로더를 통해 설치된 Norton 360 백신 프로그램과 같은 제휴 프로그램 삭제 기능을 제공하고 있습니다.
만약 프로그램 삭제시 "Remove this manager for Add/Remove programs" 박스에 체크를 하지 않고 삭제를 진행할 경우 Norton 360 백신 프로그램만 제거를 진행하며 "Media Player Classic Packages" 프로그램은 그대로 유지됩니다.
삭제되지 않은 "Media Player Classic Packages" 프로그램 제거를 위해 재삭제를 진행할 경우 "rp.downloadfreecdn.com" 웹 서버와의 통신을 통해 자동으로 제휴(광고) 프로그램 설치 파일을 다운로드 및 실행하여 설치를 유도하는 행위가 존재할 수 있습니다.
그러므로 일부 해외 광고 프로그램에서도 발견되고 있지만 제어판을 통한 해외 광고(제휴) 프로그램 삭제 시도시 자동으로 추가적인 광고(제휴) 프로그램 설치 화면이 노출될 수 있으므로 주의하시기 바랍니다.
이번 사례와 같이 유명 백신 프로그램도 해외 제휴 프로그램 배포 방식을 통해 설치될 수 있다는 점과 사용자의 동의는 확실하게 얻은 후 설치되지만 설치 과정에서 어떠한 화면을 노출하지 않는다는 점에서 정상적인 배포 방식은 절대 아니라고 할 수 있습니다.
특히 Norton 360 백신 프로그램의 설치 파일을 다운로드하는 "cdneu.Jajajapa.com / cdnus.Jajajapa.com" CDN 서버는 신뢰할 수 있는지 전혀 알 수가 없습니다.