본문 바로가기

벌새::Analysis

블로그를 통한 알약(AlYac) 설치 파일 다운로드 주의

반응형
이스트소프트(ESTSoft)사에서 제공하는 무료 백신 알약(AlYac) 설치 파일을 블로그를 통해 다운로드하는 과정에서 해당 프로그램의 배포자가 변경되어 사용자에게 세부적인 이용약관을 제대로 공지하지 않고 추가적인 다수의 제휴(스폰서) 프로그램이 설치될 수 있는 위험성이 있으므로 주의하시기 바랍니다.
 

특히 해당 문제는 이전에 언급한 공개 자료실을 이용한 유사 설치 방식과 비슷한 사례이지만, 이번 경우에는 사용자가 프로그램 배포 공개 자료실을 제대로 인지하기 어려운 점이 있으며 배포처가 특정 사이트가 아닌 개인 블로그에서 발견되었다는 점에서 차이가 있습니다.

 

해당 블로그에서는 그림과 같이 알약 설치 파일을 첨부 파일(ZIP 압축 파일) 형태로 업로드한 것처럼 구성되어 있지만, 실제로는 특정 공개 자료실 링크 방식으로 사용자가 해당 아이콘을 클릭할 경우 510KB 용량의 작은 파일이 다운로드 되도록 구성되어 있습니다.

 

이는 실제 알약 업체에서 제공하는 설치 파일과 용량 및 디자인이 다른 형태임을 알 수 있습니다.

참고로 알약 업체에서는 온라인 다운로드 방식의 저용량 설치 파일을 배포하고 있지 않는 것으로 알고 있습니다.

다운로드된 파일을 실행해보면 마치 심파일에서 제공하는 프로그램 다운로더와 같은 방식으로 구성되어 있지만, 우측 하단에 스폰서 목록이 포함되어 있는 것을 확인할 수 있습니다.

해당 목록은 개별 목록별로 사용자가 스크롤바를 이용하여 체크 해제를 하지 않으면 알약 설치 파일을 다운로드하는 과정에서 자동으로 사용자 컴퓨터에 설치되도록 구성되어 있습니다.

특히 스폰서 목록 좌측의 이용약관에서는 해당 공개 자료실 이용과 관련된 약관 내용만을 포함하고 있을 뿐, 추가로 설치되는 스폰서 프로그램에 대한 개별 이용약관은 존재하지 않는 형태로 사용자 컴퓨터에 설치가 되고 있습니다.

실제 스폰서 프로그램은 해당 공개 자료실 업체에서 운영하는 프로그램이 아닌 외부 업체의 프로그램이 다수 포함되어 있으므로 각 프로그램마다의 이용약관 제시 및 동의 과정이 있어야 합니다.

사용자가 알약 설치 파일을 다운로드를 시도할 경우에 먼저 스폰서 프로그램에 등록된 프로그램이 다운로드됨과 동시에 설치가 자동으로 이루어지고 있으며 설치된 스폰서 프로그램은 초기 동작없이 시스템 재부팅 후에 동작하는 경우가 있으므로 자칫 사용자는 어떤 프로그램으로 인하여 설치가 이루어지는지 제대로 인지하지 못할 수 있습니다.

실제 설치된 프로그램의 경우 최초 스폰서 목록에서 각 프로그램의 세부적인 이름을 공지하지 않아서 업체를 제대로 알 수 없거나 프로그램 명칭을 제대로 확인하기 어려운 점이 있습니다.

즐겨찾기 항목에 추가된 옥션 바로가기, 11번가 쇼핑, G마켓 쇼핑과 같은 경우에도 사용자가 인지하기 힘든 상업적 목적의 코드가 포함되어 있습니다.

특히 이런 배포 방식 과정에서 사용자 Mac Address 값을 체크하여 최초 설치된 컴퓨터 환경에서 모든 프로그램을 초기화하고 재설치를 시도할 경우에는 그림과 같이 스폰서 목록에 활성화되지 않는 부분을 발견할 수 있습니다.

이는 어떤 목적에서인지 알 수 없지만 배포자가 1PC에 재설치하는 것을 통해 중복 설치시 지불해야 하는 금전적 피해를 방지할 목적이 아닌가 생각되며, 실제 설치된 파일 중에서 [%SystemRoot%\system32\macchange.exe] 파일이 존재한다는 점은 이를 뒷받침하고 있습니다.

이런 방식의 프로그램을 설치하는 과정에서 사용자가 스폰서 목록을 제대로 확인하지 않고 설치할 경우 안철수연구소(AhnLab) 보안 제품에서 스폰서 설치 파일 일부를 Malware/Win32.Generic 진단명으로 사전 진단하는 것을 통해 사용자는 알약 프로그램의 문제 또는 V3 제품의 오진 등으로 오해할 소지가 다분합니다.

참고로 이번 배포 사이트로 지적된 파일119(File119)의 경우에는 해당 공개 자료실에서 제공하는 프로그램 배포 방식과 이번처럼 블로그를 통해 유포되는 방식이 차이가 있으며, 실제 일부 인터넷 사용자들이 해당 공개 자료실 프로그램 삭제와 관련된 문의를 검색하는 수가 많으므로 자신의 컴퓨터를 점검할 필요가 있어 보입니다.

마지막으로 프로그램을 설치하기 위해서 설치 파일을 다운로드할 경우에는 반드시 제작사 사이트 또는 유명 공개 자료실만을 이용할 것을 권장하며, 프로그램 설치 과정에서 스폰서 프로그램이 추가되는지 여부를 반드시 체크하는 인터넷 습관을 가지시기 바랍니다.

728x90
반응형
  • 익명 2010.04.22 14:09 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • 알 수 없는 사용자 2010.04.22 17:25 댓글주소 수정/삭제 댓글쓰기

    좋은정보 감사합니다. 조심해야겠군요

  • CyClone 2010.04.22 18:43 댓글주소 수정/삭제 댓글쓰기

    매일 새로 올라온 글마다 꾸준히 뷰온을 누르며 좋은 정보 항상 감사하게 읽고 있습니다^^

  • 익명 2010.04.22 20:09 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • 야르보 2010.04.22 21:32 댓글주소 수정/삭제 댓글쓰기

    좋은정보 감사합니다, 이제 블로그에서 다운은 의심해볼수밖에 없군요.

    • 찾기 어려운 일부 프로그램을 블로그를 통해 얻을 수 있다는 장점도 있지만, 이를 역으로 이용하는 곳도 많아서 되도록이면 받지 않는게 좋은 것 같습니다.

  • 2010.04.24 15:02 댓글주소 수정/삭제 댓글쓰기

    좋은정보 감사합니다.

    방금 저런 프로그램을 깔아서 정보를 찾고 있었는데

    쉽게 설명해 주셨네요

  • 고맙습니다. 2010.05.13 12:28 댓글주소 수정/삭제 댓글쓰기

    파렴치한놈 때문에 컴퓨터가 더러워졌네요.
    http://blog.naver.com/qhslstkfkd?Redirect=Log&logNo=40105656869
    게임 치트키 찾으려다가 듣보잡 프로그램들만 깔렸으니 원.. ㅡㅡ 고객센터에다가 이 김용철이라는놈의 블로그 신고한 상태입니다.

    • 프로그램을 확인해 보겠습니다.

      스캔에 돌려보니 악성코드로 보이는군요.

      프로그램을 보니 File119군요. 저 프로그램의 배포 방식이 매우 잘못되어서 국내 보안 업체에서 진단을 할 것으로 보입니다.

      정상적인 프로그램을 배포한다는 전제하에 스폰서 프로그램을 추가로 설치하도록 유도하는 것들이죠.

  • 스펙타클 2010.06.29 15:34 댓글주소 수정/삭제 댓글쓰기

    저도 어느 유명한 게임의 한글패치를 받다가 그만 설치되고 말았습니다;

    하나하나 찾아서 지우는게 정말 짜증납니다.

    macchange.exe 이 파일 시작프로그램에도 등록이 되어있는데

    지워도 되는파일인지 궁금하네요.

    • 안녕하세요.

      macchange.exe 파일은 저런 프로그램을 유료 등록한 경우 사용자를 식별하기 위한 설치된 컴퓨터 Mac Address 값을 체크하는 것으로 보입니다.

      그러므로 해당 파일은 삭제를 하시는 것이 좋습니다.

  • 열받네요 2010.07.07 16:08 댓글주소 수정/삭제 댓글쓰기

    MP3Resizer 라는 파일로 같은 증상을 보이는 File119 바이러스에 한방 먹었습니다
    http://guliver.tistory.com/158

    크게 문제있는 바이러스가 아니길 빌 뿐 입니다...

    • 저런 서비스의 잘못된 점은 외부 블로그나 다양한 경로를 통해 낚시 비슷하게 설치를 유도한다는 점이 아닐까 싶습니다.

      특히 제휴 프로그램을 다수 설치하면서 제대로 알려주지 않는 점으로 인해 많은 분들이 당하는 것 같습니다.