본문 바로가기

벌새::Analysis

국내 애드웨어의 유포 방식 : Tpack21 사례

반응형

4월경부터 유포되고 있는 것으로 추정되는 국내 애드웨어 중 하나인 Tpack21에서 새로운 형태의 유포 방식이 있어서 소개해 드립니다.

해당 업체는 온라인을 통한 마케팅과 관련된 사업으로 이런 방식을 소개하고 있는 것으로 보이며, 이전에 언급한 것처럼 다수의 유명 프로그램에 자신들의 광고 프로그램을 다운로드할 수 있도록 변경하여 인터넷 카페, 게시판, 블로그 등을 통해 유포하고 있습니다.

이번 사례는 각종 이슈가 되는 동영상을 감상하기 위해 실제 동영상을 풀빵닷컴과 연결을 하면서 감상을 위해서는 추가적으로 제공하는 프로그램을 설치하도록 유도하고 있습니다.

[URL 구조]

Tpack21 관련 서버 - 풀빵닷컴 동영상 주소 위치 - 설치를 목적으로 하는 다운로드 파일

실제 해당 영상을 보기 위해 [설치 후 동영상보기 / 설치 안하기] 어느쪽을 클릭하여도 배포자의 다운로드 파일을 생성하고 바로 동영상이 풀빵닷컴을 통해 서비스가 되고 있습니다.

유사한 방식의 동영상을 보기 위한 파일 설치 방식과는 틀리게 실제 영상을 제공하므로 인하여 사용자의 경우 신뢰성을 담보로 추가적인 파일 역시 설치할 가능성이 있어 보입니다.
012

이렇게 제공된 파일을 통해 설치를 할 경우 국내에서 실시간 TV로 유명했던 OnAir 관련 파일을 설치하는 모습으로 사용자의 눈을 속이는 것이 가능합니다.

하지만 설치의 앞 단계에서는 이전과 같이 자신들의 광고 프로그램을 다운로드할 파일을 먼저 설치하고 나중에 실제 해당 실시간 TV 관련 프로그램을 설치하는 방식을 이용하고 있습니다.

모든 광고 프로그램이 설치가 된 상태에서 보안제품을 이용하여 검사를 해보면 위와 같이 다수의 악성코드가 진단되는 것을 확인할 수 있습니다.

프로세스 정보

특히 다수의 애드웨어 설치로 인해 위와 같이 해당 프로그램을 동작하기 위한 프로세스 증가로 인하여 시스템이 느려지는 현상을 추가적으로 경험하실 수 있으며, 원치않는 광고, 링크, 사이트 납치, 키워드 감시, 툴바, 추가적인 광고 프로그램 다운로드 등의 동작을 할 수 있으므로 사실상 사용자가 정상적인 컴퓨터 사용에 방해적 요소가 됩니다.

사용자 동의없이 설치되는 이런 류의 악성코드를 보시면 해당 제품의 버전(Version)을 통해 꾸준히 관리가 될 수 있음을 아실 수 있으며, 추후 코드가 변경되어 보안제품의 진단을 우회할 수 있기에 감염된 컴퓨터를 계속적으로 괴롭힐 수 있습니다.

이전에 살펴본 자신들이 설치한 일부 프로그램을 스스로 삭제를 하는 행동을 통해 사실상 해당 사용자 컴퓨터를 악의적으로 이용할 수 있다고 볼 수 있으며, 이들 제품의 경우 제어판에서 삭제를 지원하도록 일부 구성되어 마치 정상적인 프로그램으로 주장할 수 있지만, 언제든지 추가적인 프로그램을 배포자가 설치를 할 수 있다는 점은 악성코드임에 틀림이 없습니다.

항상 프로그램은 제작사 홈페이지나 신뢰할 수 있는 공개 자료실을 이용하는 습관이 중요하며, 최근의 동영상을 보기 위해 추가적인 컨트롤러를 설치하도록 하는 일부 서비스에 대해서는 추가적인 정보를 확인하시고 설치하는 습관도 중요합니다.


반응형