본문 바로가기

벌새::Analysis

국내 애드웨어 전문 유포자를 추적해 보자!

반응형
최근 네이버 지식인에 국내 포털 사이트 다음(Daum), 네이버(Naver)의 메인 화면 좌측 여백에 마치 해당 업체에서 광고를 하는 것으로 위장을 하여 광고 링크를 다는 방식으로 사용자 컴퓨터를 감염시키는 애드웨어가 있는 것으로 보입니다.
01

위의 스크린샷은 네이버 지식인에 올라온 일부 문의글에서 발췌한 것입니다. 위와 같은 방식으로 광고 링크를 웹 페이지에 삽입하여 해당 링크를 이용할 경우 배포자에게 일정한 금전적 혜택이 주어지는 방식으로 이용되는 부분에 대해 다양한 문의글을 통해 해당 유포자를 추적하던 중 이전에 살펴본 국내 애드웨어 유포 방식의 연장선에서 유사한 방식으로 각종 애드웨어를 유포하는 부분을 발견하였습니다.

먼저 해당 광고의 유포자는 인터넷 상에서 전문적으로 홍보 관련 업을 전문으로 하는 것으로 보이며, 위와 같이 파일 공유 사이트와 연관된 페이지를 만들어 해당 링크를 클릭할 경우 추천인으로 가입되는 방법을 이용하는 것도 추가적으로 확인할 수 있었습니다.

해당 유포자의 네이버 블로그를 확인하던 중 이전에 살펴본 정상적인 프로그램으로 위장한 애드웨어 유포 방식을 그대로 계속 사용하는 것을 확인하였습니다.

배포 방식은 언제나 그렇듯이 정상적인 프로그램의 명칭을 이용하고 있으며, 다소 시선을 사로잡는 추가적인 문구를 포함하고 있습니다.

또한 설치 단계에서 앞 부분에 먼저 애드웨어를 다운로드하기 위한 파일을 설치하는 순서로 진행이 되고, 화면상에서는 정상적인 프로그램이 설치되는 것으로 눈을 속이고 있습니다.

애드웨어를 설치할 파일이 완료되면 그 후에 정상적인 프로그램 설치 화면을 제공하여 의심을 피하는 수법을 이용합니다.

설치가 완료되면 위와 같이 특정 서버를 통해 사용자 몰래 애드웨어를 다운로드 하기 시작을 합니다.

[애드웨어 다운로드에 이용되는 서버]

116.122.135.20 : www.insidebar.co.kr
116.125.120.188 : www.tpack21.com

초기 다운로드 되는 애드웨어는 이전에 살펴본 애드웨어와 동일한 구성을 하고 있습니다. 하지만, 일정 시간이 지나면 특정 서버의 명령을 받아서 설치된 프로그램 중 [MicroCode]를 스스로 삭제를 하고 추가적인 2종류의 프로그램을 다운로드를 통해 설치하는 것을 확인할 수 있었습니다.

추가적으로 설치되는 애드웨어에는 baseword(키워드 도우미 관련 프로그램), softside 프로그램이 설치되는 것을 확인할 수 있으며, 해당 프로그램의 다운로드 서버 역시 위에서 언급한 서버와 동일한 것을 확인하였습니다.

[애드웨어 진단 내용]

C:\InHold_Install41.exe (AhnLab : Win-Dropper/Inhold.211968)
C:\Program Files\IHBar\InHold_Uninstall.exe (AhnLab : Win-Adware/Inhold.324096)
C:\Program Files\MicroCode\codepackuninstallPop.exe (AhnLab : Win-Adware/Tpack21.16384)
C:\Program Files\softside\softside.exe (AhnLab : Win-Adware/SoftSide.77824)
C:\WINDOWS\codepack_setup.exe (AhnLab : Win-Adware/Tpack21.28672)
C:\WINDOWS\ExeSubSend.exe (AhnLab : Win-Adware/Tpack21.20480)
C:\WINDOWS\intellect.exe (AhnLab : Win-Adware/Tpack21.49152)

제 기억이 맞다면 과거에도 주요 포털 사이트의 특정 부분에 광고를 삽입하여 마치 해당 포털 사이트에서 제공하는 것으로 금전적 이득을 취하다가 처벌을 받은 것으로 알고 있는데, 이번에도 유사한 방식으로 광고를 하고 있는 것이 아닌가 생각됩니다.

일단 이들 프로그램의 위험성은 인터넷이 연결이 되면 항상 명령을 기다렸다가 추가적인 애드웨어가 설치될 수 있다는 점에서 문제가 있다고 볼 수 있으며, 보안업체에서도 위와 같이 대다수를 애드웨어로 진단하고 있으므로 자신의 컴퓨터 프로그램 폴더 내에 위와 같은 폴더가 존재한다면 반드시 보안제품을 이용하여 시스템 전체 검사를 하여 치료를 하시기 바랍니다.

추가적으로 만약을 대비하여 해당 서버에 대하여 방화벽 차원에서 해당 아이피를 차단하는 것도 추가적인 다운로드를 예방할 수 있는 방법이 아닐까 생각됩니다.


일반적으로 포털 메인에 삽입된 광고 링크를 확인하는 것은 가능하지만 해당 링크를 설치한 프로그램을 찾기는 일반인에게 무척 어렸습니다. 이런 경우에 그냥 무시할 경우 인터넷을 이용하면서 자신의 키워드 값 등을 가로채는 등 개인 사생활 침해가 일어날 수 있으므로 반드시 보안제품을 통해 검사를 해보시고 진단이 되지 않을 경우에는 보안업체의 원격지원 등을 받아서 문제를 해결하는 습관도 중요하다고 할 수 있습니다.


728x90
반응형
  • 무조건 설치를 유도하는 activeX는 확실히 피해야 할 것 같습니다.

  • 이름 진짜 겁나 저렴하다 ㅎㅎ 진짜 꽁짜~

  • 전에 뉴스에도 나온 애드웨어가 다시 유포되나 봅니다? 방법이 매력적이었으니 다시 이용할만도 한데 국내에서 저렇게 직접적으로 활동하면 유포자를 잡기도 쉽지 않을까하는데 무슨 깡으로 저리 활동을 하는지 이해가 안가네요.

  • 글벌레 2009.05.14 01:22 댓글주소 수정/삭제 댓글쓰기

    이런거 유포요 ? 구글 광고 방식과 같다고 보면 됩니다 . 일단 배포하려는 사업자가 게시자를 모읍니다 . 그 때 CPM , 가입시 리베이트등등에 대하여 같이 게시해 놓습니다 . 그럼 게시를 원하는 자들이 사업자에 연락을 합니다 . 그러면 게시자의 사이트/블로그등에 코드를 심고 또는 링크를 심고 노출/결제율에 따라 발생한 수익을 받습니다 . 구글 광고 방식과 비슷하죠 ? 그런데 구글의 경우와 달리 허위백신/애드웨어 유포의 과정은 인터넷 다단계로 봐야할 소지가 있어 보이는데요 .......法院이 이런 방식을 무죄라 판결했으니 그냥 조용히 있을 생각입니다 _ _ 참 , 저는 어떻게 알았냐고요 ? 제가 게시자로 의심받을거 같은데 _ _ 구글링만 해봐도 윤곽이 다 잡힙니다 .....그런데 법원이 무죄라고 하잖아요 ? _ _

  • 왠지 저번에 뉴스에 나온부분하고 비슷한 부분이 많이 있어 보이네요,제 기억에는 비슷한 방법으로 쇼핑몰을 운영하시는 분들을 타겟으로 해서 메인에 노출할수 있도록 프로그램을 설치해서 실제로는 메인에는 안올라 오고 사용자만 메인에만 보이는 것이 비슷한것 같고 출처가 불분명한 소프트웨어는 자제하는것이 좋을 것 같습니다.

  • 헉~ 대단하십니다! 이건 아닌데.. 그쵸?? ^^

    • 결국 저 제품들의 경우 실제 삭제를 일부 지원하더라도 사용자 몰래 동의없이 설치를 하게 만드는 것은 해당 업체가 한 일이 아니더라도 보안업체에서 진단할 수 있는 범위 안에 들어가는거죠.

      저렇게 해서 자신도 모르게 저런 프로그램을 품고 지내면서 아무도 모르는 또 다른 문제가 발생하는 것으로 알고 있습니다.

  • 비밀댓글입니다

  • 이것땜에 2009.05.15 12:20 댓글주소 수정/삭제 댓글쓰기

    엄청고생하고있어요.....삭제하는법은없나요?

    • 포털 사이트 광고 링크는 어떤 프로그램으로 인한 문제인지 제가 확인할 수 없습니다.

      아래의 애드웨어 부분은 현재 보안제품에서 진단하는 것들이므로 보안제품을 이용하여 전체 검사를 통해 치료해 보시기 바랍니다.

      국내 애드웨어라서 되도록이면 국내 보안제품이 효과가 있으리라 보여집니다.

  • 잭스 2009.05.17 11:25 댓글주소 수정/삭제 댓글쓰기

    ㅠㅠ이거삭제하는방법없나요?아주그냥..ㅠㅠ신경쓰여요

    • 제가 알기로는 해당 서버에서 변종을 다수 유포한 것으로 알고 있습니다.

      국내 보안업체 업데이트 정보를 보면 계속 추가되는 진단명이 나오기 때문에 되도록이면 수동으로 삭제하지 마시고 반드시 보안제품을 이용하여 전체 검사를 통해 치료하시기 바랍니다.

  • 감사 2009.09.11 20:20 댓글주소 수정/삭제 댓글쓰기

    헉.......p2p 관련 지식을 찾다가..

    p2p 쓸 때, 상대방과 1:1로 연결되는거라 아이피를 알 수 있다고하길래

    내 컴퓨터 이름: 포트번호 상대방 IP: 포트번호 라구 나온다길래

    cmd.exe하구 nestat했는데 딱 한개의 아이피가 뜨더라구요..!!!

    그 아이피가 너무 궁금해서 검색해봤는데 딱 님 홈페이지만 떴습니다


    감사해요 ㅠ_ㅠ 님 아니였으면 미친 애드웨어의 노예로 살았을 듯...

  • 감사 2009.09.11 20:21 댓글주소 수정/삭제 댓글쓰기

    저도 아이피가 166.122.135.20이 나왔거든염..

    • 특정 서버에서 계속적으로 다양한 애드웨어를 사용자 동의없이 설치를 하려는 것 같습니다.

      유명 보안제품을 통해 시스템 정밀 검사를 해보시기 바랍니다.

      다운을 유도하는 파일이 존재할 것 같습니다.