울지않는벌새 : Security, Movie & Society

공개 자료실을 이용한 다운로더(Downloader)와 제휴(스폰서) 프로그램

벌새::Analysis
작년 하반기부터 국내 제휴(스폰서) 프로그램의 유포 경로로 활발하게 활용되는 방식 중의 하나가 정상적인 공개 자료실 서비스를 통한 제휴(스폰서) 프로그램의 설치 방식입니다.

실제 네이버(Naver) 검색어로 특정 소프트웨어를 입력할 경우 프리미엄 광고로 등록한 다수의 공개 자료실이 상위에 배치되고 이로 인하여 일부 인터넷 사용자들은 해당 서비스를 이용하는 과정에서 자의반 타의반으로 원치않는 제휴(스폰서) 프로그램을 함께 설치하는 경우가 있습니다.(물론 해당 방식은 법적으로 전혀 문제가 없습니다.)

하지만 1월경에 확인한 유사 웹하드 도메인을 이용한 공개 자료실 운영 방식의 경우에는 사용자를 속이는 형태로 변질되는 것을 확인할 수 있었으며, 오늘 소개하는 방식의 경우에도 우리가 일반적으로 생각하는 유명 공개 자료실 심파일(SimFile)과 같은 것과 착각할 수 있다는 점에서 한 번 자세히 살펴보도록 하겠습니다.

※ 사례에서 소개하는 공개 자료실은 [F자료실]로 지칭하며, 인터넷 사용자의 주의를 환기시키기 위해 스크린 샷에서는 정식 명칭이 포함될 수 있습니다.


해당 F자료실의 특정 소프트웨어 소개글을 보면 웹 상에서는 해당 P2P 프로그램을 다운로드하는 파일명에 [simfile]을 포함하여 마치 심파일에서 제공하는(던) 파일로 사용자를 착각하게 만들고 있습니다. 또한 파일의 용량이 13.9M로 표시되어 있지만 실제 다운로드를 시도할 경우 표시되는 파일의 용량은 339.55KB로 표시되며 다운로드 완료 후의 용량 역시 웹 상에서 표시되는 파일과 다른 것을 확인할 수 있었습니다.

이렇게 다운로드된 파일은 심파일에서 제공하는(던) 파일이 아니며, 파일 용량도 전혀 다른 실제 사용자가 다운로드를 원하던 P2P 프로그램 설치 파일이 아닌 해당 F자료실에서 일괄적으로 적용된 다운로더(Downloader) 프로그램입니다.

해당 Downloader 프로그램(MD5 : 979ce591bb196705d26030b20feb6cc9)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.Pasta.jfd (VirusTotal : 15/41) 진단명으로 진단을 하고 있는 것을 확인할 수 있으며, 이는 업체 진단 정책에 따라 달라질 수 있으리라 생각됩니다. 하지만 해당 Downloader 프로그램은 일반적인 해당 웹 사이트에서만 동작하는 방식이 아닌 해당 파일마다 개별적인 배포를 통해서도 동작을 하는 방식으로 확인이 되므로 개인적으로 다소 문제가 있어 보입니다.


이렇게 다운로드된 파일을 실제 실행해보면 심파일에서 제공하는 ActiveX 설치 방식을 통해 제공되는 다운로드 방식의 UI를 적용하고 있으며, 우측에서는 링크프라이스(LinkPrice) CPC 광고와 제휴(스폰서) 프로그램이 추가되어 있는 것을 보실 수 있습니다.

제휴(스폰서) 프로그램의 경우 매우 작은 칸에 하나의 프로그램만 표시하고 있으므로, 실제 해당 서비스를 이용하는 사용자가 이를 간과할 수 있어 보입니다.


LinkPrice CPC 광고(클릭당 수익 발생)인 클릭 박스의 경우에는 해당 Downloader 프로그램이 동작시 그림과 같은 경로를 통해 동작하는 것을 확인할 수 있습니다.

여기서 문제점은 해당 Downloader 프로그램에서 사용자가 다운로드하려는 프로그램(P2P 프로그램)의 기본 저장 위치가 인터넷 임시 폴더(%(사용자 계정)%\Local Settings\Temporary Internet Files)로 지정되어 있으며 수정이 불가능하며, 해당 프로그램을 다운로드를 완료한 상태에서 각종 명령(창닫기, 프로그램 실행 여부 결정, 폴더 열기)을 전혀 지정할 수 없도록 구성되어 있는 점을 확인할 수 있습니다.

실제 확인을 해보면 해당 F자료실에서 제공하는 일부 프로그램은 Downloader 프로그램을 통해 다운이 된 시점에서 자동 실행되면서 정상적으로 동작하지 않는 프로그램도 존재하며, 사용자에게 설치 정보를 제공하지 않는 프로그램도 있는 것을 확인할 수 있었습니다.


Downloader 프로그램을 이용하여 P2P 프로그램을 다운로드를 시도할 경우 프로그램의 다운로드 서버는 F자료실 서버로 연결되는 것을 확인할 수 있습니다.


다운로드가 완료된 P2P 프로그램은 그림과 같이 자동 실행되는 것을 통해 해당 P2P 프로그램의 설치 과정에서 제2의 제휴(스폰서) 프로그램이 설치될 수도 있습니다.

이처럼 최근에 다수의 공개 자료실을 통해 많은 인터넷 사용자들이 해당 서비스를 이용하는 과정에서 제휴(스폰서) 프로그램이 설치될 수 있으며, 동작 방식에서도 전형적인 ActiveX 설치 방식에 대한 기피 현상을 감안한 이같은 방식으로 배포하는 과정에서 문제점이 다소 있는 사례가 있으므로 소프트웨어의 다운로드는 제작사 사이트 또는 유명 공개 자료실을 이용하는 습관을 가지시기 바랍니다.