본문 바로가기

벌새::Analysis

싸이월드 비밀 방명록 훔쳐보기의 진실

SK Communications에서 서비스하는 싸이월드(Cyworld)는 각종 해킹이나 해당 서비스의 비밀스러운 부분에 대해 외부적인 서비스를 통해 정보를 알아내려는 시도가 참 많습니다.

가장 최근의 경우에도 위와 같이 외부적인 서비스를 통해 방문자 정보를 확인하거나, 그 외 누군가에 의해 제작된 투데이 올리기 등 다양한 프로그램이 돌아다니고 있는 것으로 알고 있습니다.

우연히 비밀 방명록에 작성된 글을 확인할 수 있다는 프로그램이 있어서 잠시 확인을 해보았습니다.

[싸이월드 비밀 방명록 훔쳐보기]

MD5 : 4e4878502ae0246310a5da1739dcb9f0



해당 단독 파일로 배포되는 실행 파일은 위와 같이 일부 보안제품에서 의심파일로 진단을 하고 있습니다.


해당 파일을 실제 동작시 생성되는 정보를 확인해 보면(제가 싸이월드를 이용하지 않는 점과 실행 중 VB 관련 파일이 존재하지 않는 점으로 인한 오류로 정상 동작 실패한 점을 고려해 주시기 바랍니다.), 위와 같이 Image File Execution options 항목에 자신을 등록하는 것이 아닌가 생각됩니다.

이는 윈도우 부팅시 해당 프로세스가 동작하면 자동으로 해당 프로그램도 동작을 시킬 수 있으며, 일부 악성코드가 이 점을 이용하고 있는 것으로 알고 있습니다.


특히 해당 파일의 내부를 살펴보면 특정 싸이월드 계정 2개를 확인할 수 있고, 기본적으로 윈도우 시작과 함께 해당 프로그램이 동작하도록 구성되어 있습니다.

시작 프로그램 등록 정보를 해지하여도 타 프로세스에 등록된 정보로 인하여 실제 프로그램 파일이 제대로 삭제가 되지 않을 수도 있는 것으로 보입니다.

그러면 진짜 이 프로그램의 정체는 무엇일까요?

배포자로 추정되는 남성 싸이월드


해당 파일에 등록된 싸이월드 계정을 추적해보면 모 남성 사용자 미니 홈페이지가 존재하다는 것을 알 수 있습니다. 특히 해당 방문자수를 보시면 00시가 되기 직전의 시점에서 벌써 6,641명의 카운터가 기록되어 있습니다.

배포자의 애인으로 추정되는 여성 싸이월드


또 다른 싸이월드는 여성으로 동일 시간대에 7,569의 카운터를 기록하고 있는 것을 확인할 수 있었습니다.

이 둘의 싸이월드 카운터를 00시 이후 1시간 가량 관찰해보면 70 카운터를 기록하고 있으며 둘 모두 동일한 수치로 올라가는 점을 고려해 본다면 비밀 방명록 프로그램은 자신들의 투데이를 사용자 몰래 올리기 위해 제작하여 배포하는 것으로 추정됩니다.

또한 남성 싸이월드의 일촌평에 해당 여성 싸이월드 주인이 기록을 한 점으로 미루어보아 확실해보입니다.

일반적으로 웹 상에서 신뢰할 수 없는 프로그램을 다운로드하여 정상적인 서비스가 아닌 우회적인 방법으로 접근을 하려고 하다보면 위와 같이 그런 점을 악용하여 배포되는 프로그램으로 인하여 타인에게 자신도 모르게 도움만 주면서 자신의 컴퓨터 리소스 낭비와 기타 악의적인 동작으로 인하여 개인정보 등이 탈취될 수 있습니다.
  • 싸이월드 투데이 올릴려고 저런 것들을 해야 하는 이유를 전 모르겠던데..
    싸이월드 했었지만, 단지 친구들과 연락 수단으로 하다가 요즘은 ... 뜨문 뜨문 ;;;

    앗 전 믹스 실수로 누러서 클릭 올라간적은 있는데.ㅋ 오해 살까봐 잘못 눌럿다고 댓글로 해놓았다가..
    오히려 더 뭐할 거 같아서 .. 지웠지만 ;;;

    • 두 가지죠. 사람의 심리라는게..

      진샘나미님처럼 실수로 클릭한 부분도 마음에 걸리는 분들과 어떻게 해서든지 타인의 눈에 띄게 하고 자신의 마음의 욕구 해소를 원하는 분들..

  • 별난 방법이 다동원이 되는 군요..출처 불명확한 프로그램은 조심해야한다는 것으로 생각을 할수가 있겠니요.

    • 자신의 미니홈피 투데이를 자신이 프로그램을 돌리는 것은 그렇다고 하더라도, 타인에게 허위정보로 설치를 유도해서 저런 방식으로 하는 것은 악성코드나 다름이 없다고 봅니다.

  • 포털을 통해 배포되는 낚시성 게시물들 중, 싸이투데이 등 싸이월드 관련 도구들은 확인해 보신 것처럼 거의 몇 몇 싸이월드 카운터 수 올려주려고 만든 프로그램이더군요~ 결국 목적은 광고를 위한 노출인거죠. 자신의 싸이월드가 싸이에서 서비스하는 방문자수 기반의 노출 페이지에 노출될 수 있도록 하기 위한....

    노출된 싸이월드에 사용자가 방문하면 첨부 파일 등을 통해 악성코드를 유포하거나 P2P 등의 포인트를 획득하기 위한 목적으로 많이 악용되는 것 같습니다.

  • 와우!! 2009.11.07 20:30 댓글주소 수정/삭제 댓글쓰기

    프로그램 잘 다루시네용!!

  • 나그네 2009.12.30 17:18 댓글주소 수정/삭제 댓글쓰기

    저도 디컴파일 해봤습니다..

    http://minihp.cyworld.com/pims/main/pims_main.asp?tid=57981479

    이주소가 첫번쨰뿌리 홈페이지네요

  • 나참 2010.08.25 23:40 댓글주소 수정/삭제 댓글쓰기

    두번째주소는 여기로 되어있군요.. 어느 여성분 홈피--
    http://minihp.cyworld.com/pims/main/pims_main.asp?tid=42692733