울지않는벌새 : Security, Movie & Society

당나귀를 통한 Fun Web Products 설치 목적의 악성 Clicker 주의 (2010.5.9)

벌새::Analysis
당나귀(eDonkey) 프로토콜을 이용하는 P2P에서 특정 검색을 시도할 경우 다수의 압축 파일 또는 실행 파일로 위장한 악성 Clicker를 이용하여 해외 애드웨어(Adware) [Fun Web Products - Smiley Central]을 설치하려는 시도가 있으므로 주의하시기 바랍니다.

예를 들어, 특정 한글 검색어를 입력할 경우 그림과 같은 다수의 파일들(2MB~8MB 용량 수준)이 검색에 노출되고 있습니다.

사용자 입장에서는 해당 파일들이 한글로 검색되었기에 국내에서 누군가가 공유를 하는 것으로 오해할 수 있습니다.

하지만 다음과 같은 실제 존재하지 않을 법한 검색어를 입력할 경우에도 동일하게 다수의 파일들이 검색에 노출되는 것을 통해 이는 악성 배포 목적으로 검색 결과를 조작하는 방식으로 노출되고 있다고 볼 수 있습니다.

워낙 다양한 용량의 파일들이 구성되어 있기에 테스트에서는 3,094,095 Bytes (MD5 : 86110d90969fc37355130328e4e80370)용량의 파일을 이용하여 확인을 해보도록 하겠습니다.

참고로 P2P에서 유포되는 해당 설치 파일은 Trojan-Clicker.Win32.AutoIt.ac (Kaspersky) 또는 Adware.Neverblue.2 (Dr.Web) 진단명으로 일부 보안 제품에서 모든 파일들을 진단하고 있습니다.


다운로드된 파일의 설치 파일은 그림과 같은 아이콘 모양을 하고 있으며, 해당 파일을 실행하였을 경우에는 어떠한 화면 정보없이 Internet Explorer를 자동으로 실행하여 해외에서 제작된 Smiley Central 프로그램 관련 사이트로 연결을 시도하도록 구성되어 있습니다.


[관련 URL 정보]

h**p://resid.web***.biz/getaction2.php?pl=152&geo=%2bWW
h**p://fbg**.com/click/?c=72811&s=116447&subid=sub1752
h**p://lw***.com/click/?s=116447&c=237727&subid=sub100
h**p://nb***.com/click/?s=116447&c=237727&subid=sub100&internal=86_1aifu7_1
h**p://www.smiley*******.com/?partner=(파트너 ID)&spu=true
h**p://install.autocomplete***.com/installHandler/?action=install&ver=1.1&si=7999

프로그램이 Smiley Central 사이트에 접근하는 경로를 확인해보면 특정 파트너 아이디(ID)가 등록되는 것을 통해 해당 악성 Clicker를 이용하여 특정 프로그램을 설치하도록 유도하여 금전적 이득을 보는 것으로 추정되며, 해당 프로그램의 배포자는 외국인으로 P2P에서 한글 검색어로 노출되는 것은 눈속임으로 보입니다.

또한 해당 사이트에 접속하게 되면 자동으로 [AutoComplete Pro]라는 인터넷 자동 완성 기능 관련 프로그램을 사용자 몰래 설치하는 것을 확인할 수 있습니다.

참고로 사용자 계정에 존재하는 임시 폴더(C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\) 내부의 영문 폴더는 12자~18자로 구성되며 설치시마다 폴더명이 변경됩니다.

사용자 몰래 설치된 해당 프로그램의 삭제시에는 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [AutocompletePro] 삭제 항목을 이용하여 삭제하실 수 있습니다.

이제 핵심인 해당 Clicker 파일이 자동으로 실행한 Smiley Central 웹 사이트에 대해 살펴보도록 하겠습니다.

해당 사이트에 접근을 하면서 노란바를 통해 [현재 보안 설정으로 인해 컴퓨터가 위험에 노출될 수 있습니다.]라는 메시지를 통해 무언가 보안 설정에서 변경이 이루어진 것을 눈치챌 수 있습니다.(해당 악성코드를 실행하기 전에 해당 사이트에 접근을 할 경우에는 노란바를 통한 경고 문구가 출력되지 않습니다. 단, Internet Explorer 보안 설정 값이 기본값인 경우)

사용자가 [Get FREE Smileys!] 화살표 버튼을 클릭할 경우에는 사이트에서 제공하는 ActiveX 설치 방식으로 설치를 유도하는 페이지로 연결이 되도록 구성되어 있습니다.

해당 ActiveX 설치창이 생성되는 모습을 통해 일반적으로 Internet Explorer 7 버전부터 기본값으로 설정된 ActiveX가 존재하는 웹 사이트에 접속할 경우 상단 노란바를 통한 1차 알림 표시줄이 생성되는 것이 아닌 바로 ActiveX 설치창을 구현하는 점이 눈에 보이실 겁니다.

이런 이유는 해당 악성코드가 실행되면서 Internet Explorer 인터넷 영역의 보안 수준 중 [ActiveX 컨트롤 및 플러그인] 항목의 2가지 설정을 사용자 몰래 변경한 것을 확인할 수 있습니다.

[변경된 보안 수준]

1. 이전에 사용되지 않은 ActiveX 컨트롤을 묻지 않고 실행하도록 허용
 - (변경 전) 사용 안 함 / (변경 후) 사용 

2. ActiveX 컨트롤을 자동으로 사용자에게 확인
 - (변경 전) 사용 안 함 / (변경 후) 사용

이런 변경으로 인하여 ActiveX 설치창이 존재하는 페이지에 접근시 상단의 노란바 형태로 출력되는 것이 아니라 자동으로 ActiveX 설치창이 생성되고 사용자가 해당 설치를 하도록 유도하는 것입니다.

해당 ActiveX 설치를 통해 시작 페이지 변경, 검색 공급자 추가, MyWebSearch 툴바(Toolbar) 생성 등 다양한 Adware류가 설치될 수 있습니다.(프로그램 폴더 내에는 FunWebProducts / MyWebSearch 폴더 내에 프로그램 설치)

국내 P2P를 이용한 파일 다운로드를 즐기시는 분들 중에서는 이런 방식으로 유포되는 파일을 실수로 실행하여 최소한 ActiveX 설치창이 생성되는 과정까지는 접근했을 수도 있습니다.

이로 인하여 자신도 모르게 Internet Explorer의 일부 보안 설정이 변경되어 다른 악성 사이트에 접근시 위험에 노출될 수 있으므로 만약 이런 경험을 하신 분들은 반드시 보안 설정을 기본값으로 복원을 하시기를 바랍니다.

또한 P2P에서 한글 파일명이 검색되어도 실제로는 국내에서 배포하는 것이 아닌 악의적으로 검색 결과를 조작할 수 있으므로 주의가 요구됩니다.