본문 바로가기

벌새::Analysis

IFHACK.COM 사이트 생성 문제 해결 방법

728x90
반응형
온라인 게임 관련 버그 등으로 위장한 프로그램을 통해 사용자 컴퓨터에 설치시 Windows 시작시마다 특정 도메인을 생성하여 발생하는 트래픽을 이용한 돈벌이 방식이 유포되고 있으므로 주의하시기 바랍니다.

테스트에서는 넥슨(Nexon)에서 서비스하는 온라인 게임 카트라이더 루찌 버그로 위장한 프로그램(MD5 : 33e43cb5a98e716b5a84d3c908d941b9)을 사용자가 설치할 경우 IFHACK.COM 사이트가 Windows 시작시마다 출력되는 현상이 일어나는 문제에 대해 분석해 보도록 하겠습니다.


해당 프로그램을 설치하는 과정에서 형식적인 동의 과정을 거쳐서 설치가 이루어지고 있는 것을 확인할 수 있습니다.


프로그램의 설치가 완료되면 Flash로 제작된 OnLine Information 창이 생성되며 사용자가 해당 창을 클릭할 경우 IFHACK.COM 사이트로 자동 연결되도록 구성되어 있습니다.


해당 사이트는 어떠한 정보도 없는 외국의 스폰서 광고 링크만 포함한 사이트로 구성되어 있습니다.

사용자가 해당 Flash 창을 닫기 위해서는 작업 표시줄에 생성된 [IF★] 창을 마우스 우클릭을 통해서 닫을 수 있으며, 해당 Flash 창이 닫히면 자동으로 IFHACK.COM 사이트가 또 다시 열리는 현상이 일어납니다.

특히 해당 프로그램이 설치된 환경에서는 Windows 시작시마다 시작 프로그램으로 등록하여 매번 동일한 동작이 일어나 사용자를 괴롭히는데 이런 동작을 유발하는 이유는 다음과 같습니다.


해당 프로그램 배포자는 문제의 IFHACK.COM 사이트 도메인을 소유하고 있으면서, 해외 광고 사이트에 등록하여 자신이 등록한 도메인에서 발생한 트래픽을 이용하여 수익을 창출하는 것으로 보입니다.

이런 트래픽 유발을 위해 이같은 프로그램을 통해 사용자 컴퓨터에 설치를 하고 있으며, 실제 보안 제품에서 진단 정책에 따라 다르겠지만 일종의 Clicker류의 악성코드로 볼 수 있을 것 같습니다.


해당 프로그램이 설치되면 모든 사용자(All Users) 계정 내의 시작 프로그램에 [IF★.exe] 파일을 등록하여 Windows 시작시마다 자동으로 실행되도록 구현하고 있습니다.

그 외에 바탕화면에 [IFHACK.COM] 폴더를 생성하고 있으며, 인터넷 상에서 소개하는 온라인 게임 버그와는 아무런 관련이 없습니다.

MD5 : 86ea1a13d230c201a32c6e92d0f51316


문제의 IF★.exe 파일에 대해서 AVG 보안 제품에서는 Agent2.AKFU (VirusTotal : 16/41) 진단명으로 진단을 하고 있습니다.

해당 문제를 해결하기 위해서는 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.

C:\Documents and Settings\All Users\바탕 화면\IFHACK.COM
C:\Documents and Settings\All Users\시작 메뉴\프로그램\시작프로그램\IF★.exe

위와 같은 방식으로 다양한 도메인 광고창을 생성하여 사용자를 괴롭히고 있는 일이 예전부터 목격이 되고 있으므로, 불법 파일을 인터넷에서 찾으시는 분들은 블로그 등에 업로드된 프로그램 다운로드는 삼가하시기 바랍니다.
728x90
반응형