본문 바로가기

벌새::Analysis

국내 애드웨어 : T-Solution Package

반응형
올해 국내에서 악의적인 방법으로 유포되는 애드웨어(Adware) 중에 가장 대표적인 것이 이전에 살펴본 Tpack21 사례로 사회적 이슈와 관련된 동영상을 보기 위한 네이버 코덱을 설치하도록 하는 방법이 여전히 유행하고 있는 것을 확인할 수 있습니다.

특히 국내 보안업체에서 진단을 추가함에 따라 다른 변종으로 꾸준히 유포하고 있기에 최근에 변경된 방식을 살펴보겠습니다.

 

유포 방식은 이전과 같이 최근의 경우 고양이 학대 동영상과 같은 사회적 이슈를 통해 네이버(Naver) 검색에서 상위에 노출되도록 하여 사용자가 동영상을 클릭할 경우 네이버 경로를 통한 파일 다운로드가 이루어지게 하여 신뢰할 수 있는 것처럼 위장하고 있으며, 파일 이름 역시 네이버 비디오 플레이어 코덱으로 지정하여 해당 파일을 설치해야지 동영상을 볼 수 있는 것처럼 속이고 있습니다.

설치 과정도 이전과 동일하게 해외 유명 코덱인 K-Lite Codec Pack을 함께 포함하고 있으며, 이용약관까지 제시하여 하단에 추가적인 키워드 도우미, 보안 솔루션, 스폰서 링크 프로그램 등이 설치될 수 있다고 밝히는 치밀함을 보입니다.

설치 과정에서는 먼저 애드웨어를 설치한 후, 정상적인 코덱 프로그램 설치로 연결하고 있으며, 애드웨어 설치 화면은 제시하지 않으며, 특히 설치 후 조용히 특정 서버에서 다운로드하는 방식으로 추가가 되므로 설치 과정에서는 확인이 되지 않습니다.

테스트에서는 애드웨어만을 보기 위해 코덱 설치 부분은 제외하고 설명 드리겠습니다.(설치 과정에서 코덱 설치를 하지 않고 종료를 하여도 애드웨어는 정상적으로 설치가 이루어집니다.)


[애드웨어 설치 서버 정보]

Http: Request, GET /act/actexeall.asp
URI: /act/actexeall.asp?uncode=2?usemcode=배포자 아이디
ProtocolVersion: HTTP/1.1
Accept:  image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,*/*
UserAgent:  Microsoft URL Control - 6.01.9782
Host:  www.*****.pe.kr
Connection:  Keep-Alive
Cache-Control:  no-cache
HeaderEnd: CRLF

Http: Request, GET /download/season5/IeHold.exe
URI: /download/season5/IeHold.exe
ProtocolVersion: HTTP/1.1
Accept-Encoding:  gzip, deflate
UserAgent:  Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
Host:  www.******.co.kr
Connection:  Keep-Alive
HeaderEnd: CRLF
생성 폴더, 파일 정보
최종적으로 설치가 완료된 상태에서 사용자 컴퓨터에 설치된 애드웨어는 IeHold / inliend 프로그램 2종으로 확인이 되었으며, 해당 정보는 배포자에 의해 언제든지 수정이 될 수 있습니다.

[시작 프로그램 등록 정보]

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run
 - IeHold = C:\Program Files\IeHold\IeHold.exe

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - inliend = C:\Program Files\inliend\inliend

설치된 프로그램을 확인하던 중 발견된 사실은 현재 IeHold 프로그램은 정상적으로 동작을 하지만, inliend 프로그램은 시작 프로그램 정보에서 보는 것처럼 등록이 제대로 되지 못하여 프로그램이 실제 동작하지 않는 것으로 보입니다.

이렇게 설치된 프로그램은 사용자가 특별히 찾으려고 하지 않는다면 동작 여부를 확인할 수 없기에 사용자 몰래 특정 동작을 마음대로 할 수 있으리라 생각됩니다.
프로그램은 제어판에서 정상적으로 삭제 항목을 제공하여 마치 정상적인 프로그램인 것처럼 구성하여 사용자는 인터넷을 이용하면서 눈에 보이는 동작이 없기에 설치 여부나 불편함을 느끼지 못할 수 있지만 위에서 살펴본 것처럼 자신의 금전 거래에서 타인이 중간에 끼어버리는 불법적인 행위가 있을 수 있으므로 반드시 사용자는 프로그램의 설치 여부를 확인하시고 삭제를 하시기 바랍니다.

inliend 프로그램의 비정상적인 설치로 인하여 확인되지 않았지만, 해당 프로그램 역시 BHO 방식으로 사용자의 인터넷 활동을 통한 동작에 관여하는 것으로 추정되므로 제어판을 통한 삭제를 하시기 바랍니다.

윈도우 폴더에 생성된 파일 중에서 new2_new_install.exe / new2_new_install_mucode.bak 파일은 반드시 삭제가 필요하며, 나머지 파일은 타 응용 프로그램이 사용할 수 있고, 정상적인 파일입니다.
 
블로그와 같은 게시물에서 동영상을 보거나 특정 프로그램을 다운로드하는 행위는 위험할 수 있으므로 주의하시기 바랍니다.

 

728x90
반응형