네이버 지식인 질문글을 보다가 패스트핑(FastPing) 프로그램 설치 후 Internet Explorer 웹 브라우저가 InPrivate 브라우징으로 오픈되는 문제로 고생하는 분이 있어서 확인을 해보았습니다.
우선 Windows 7 x64 운영 체제를 기준으로 바탕 화면에 생성한 Internet Explorer 웹 브라우저의 기본 바로 가기 아이콘은 "C:\Program Files\Internet Explorer\iexplore.exe" 파일을 실행하도록 구성되어 있으며, 시작 위치는 %HOMEDRIVE%%HOMEPATH% 값으로 설정되어 있습니다.
패스트핑(FastPing) 프로그램 설치 화면을 살펴보면 기본값에서 패스트링크 광고 프로그램을 필수적으로 설치하며, 그 외에 선택적으로 리셋(Reset) 클리너 프로그램과 인터넷 쇼핑몰 바로 가기 아이콘을 생성하는 제휴가 포함되어 있습니다.
테스트에서는 기본값 그대로 제휴 프로그램까지 모두 설치하여 어떤 프로그램이 InPrivate 브라우징 설정을 하는지 알아보도록 하겠습니다.
프로그램 설치가 완료된 환경에서 바탕 화면에는 FastPing, Reset, G마켓, 11번가, 옥션 바로 가기 아이콘과 함께 Internet Explorer 웹 브라우저가 생성됩니다.
특히 바탕 화면에 Internet Explorer 웹 브라우저 바로 가기 아이콘이 존재하지 않았던 환경에서도 생성되어 사용하도록 유도합니다.
그런데 바탕 화면에 생성(수정)된 Internet Explorer 웹 브라우저 바로 가기 아이콘 연결 정보를 살펴보면 "C:\Program Files (x86)\Internet Explorer\iexplore.exe" http://www.inprivate.or.kr/ -private 정보로 수정되어 있으며, 해당 수정은 리셋(Reset) 프로그램(C:\Users\%UserName%\AppData\Roaming\Reset)이 관여하고 있음을 알 수 있습니다.
이로 인하여 사용자가 홈 페이지를 다른 사이트로 지정한 환경에서도 Internet Explorer 웹 브라우저를 실행하면 InPrivate 브라우징 모드로 네이버(Naver) 연결이 이루어집니다.
Internet Explorer 바로 가기 아이콘에 추가된 inprivate.or.kr 사이트 소스를 확인해보면 최종적으로 네이버(Naver)로 접속하도록 설정되어 있음을 알 수 있으며, 이로 인하여 사용자가 지정한 홈 페이지와 무관하게 무조건 네이버(Naver)로 연결됩니다.
설치된 리셋(Reset) 프로그램의 환경 설정에서는 InPrivate 모드 사용 여부를 선택할 수 있도록 되어 있지만 사용자가 제대로 인지하고 설정을 변경할지는 의문입니다.
■ 리셋(Reset) 프로그램 설치 과정에서 확인된 악성코드 유포 주의
패스트핑(FastPing) 프로그램의 제휴 프로그램으로 추가된 리셋(Reset) 프로그램이 설치 완료 후 또는 특정 웹 사이트 접속 시 자동으로 특정 개인 방송국 이벤트 페이지를 경유하여 웹 사이트가 오픈되는 행위가 발생할 수 있습니다.
그런데 연결되는 웹 사이트의 제휴 아이디(ID) 추가 목적으로 경유되는 개인 방송국 이벤트 페이지 영역에서 의심스러운 코드가 확인되어 살펴보도록 하겠습니다.
- h**p://********tv.com/event.php (SHA-1 : 4f3e8d78593433a3d4e575b69ee8d6c59612a7e8 - BitDefender : Trojan.Script.223168)
- h**p://www.*****mall.co.kr/shop/conf/l/adpop.html (SHA-1 : 1cb6155f021ffea48c1e472dab95fb75292284b3 - McAfee : JS/Exploit-Angler.r)
- h**p://www.*****mall.co.kr/shop/conf/l/KpKwFs.html (SHA-1 : 134d03ae48ba6ec70de428638234231d163425f3 - ESET : JS/Kryptik.BAQ)
- h**p://www.*****mall.co.kr/shop/conf/l/logo.swf (SHA-1 : c9f841217a31ee35af02ec883b3670f98e752216 - Microsoft : Exploit:Java/Obfuscator.R)
아프리카TV와 매우 유사한 이름으로 서비스되는 개인 방송국 웹 사이트의 이벤트 페이지 영역에 악성 iframe이 추가되어 2017년 3월 1일(추정)경부터 Adobe Flash Player, Oracle Java 등의 보안 취약점(Exploit)을 이용하여 악성코드 유포가 이루어지고 있는 것을 확인할 수 있었습니다.
이로 인하여 만약 해당 기간에 패스트핑(FastPing) 프로그램을 설치하는 사용자 중 보안 업데이트가 제대로 이루어지지 않은 경우 자동으로 감염되었을 수 있으며, 현재는 최종 악성 페이로드는 확인되지 않지만 아마도 인터넷뱅킹 정보를 노리는 파밍(Pharming) 악성코드가 설치되지 않을까 추정됩니다.
그러므로 패스트핑(FastPing) 프로그램을 애용하시는 사용자는 주의하시기 바라며, 추가적으로 설치되는 제휴 프로그램으로 Internet Explorer 웹 브라우저 연결 정보가 수정될 수 있으므로 사용자가 잘 판단하여 사용 여부를 결정하시기 바랍니다.