반응형
일전에 블로그를 중심으로 한 국내 특정 공개 자료실에서 제공하는 다운로더(Downloader) 프로그램의 문제점을 지적하면서 무료 백신 알약(AlYac)을 설치하는 과정에서 보안 제품의 진단이 발생하는 사례를 공개한 적이 있었습니다.
최근 위와 유사한 방식으로 사용자 컴퓨터에 원치않는 프로그램이 설치되어 해당 문제에 대해 문의가 들어와(보통 저에게 문의하는 사람들이 없습니다. 얼마나 급하셨으면 ) 확인하는 과정에서 기존과 동일한 공개 자료실의 문제로 확인이 되었으나, 이번에는 추가적으로 사용자의 눈을 속이기 위해 다음과 같은 방식을 이용하고 있는 것을 확인할 수 있었습니다.
h**p://file.naver.**unse.com/download.php?code=util&cid=1091&search_code=best
여기서 흥미로운 사실은 해당 링크 주소가 네이버(Naver) 자료실로 착각을 할 수 있게 구성을 하여 마치 네이버 자료실에서 다운로드를 하는 것으로 생각하게 만들고 있습니다.
h**p://guliver.tistory.com.**util.com/download.php?code=util&cid=1050&search_code=best
해당 링크의 경우에는 마치 티스토리(Tistory) 블로그에 업로드하여 첨부된 것으로 눈속임을 하기 위해 도메인을 위와 같이 구성하고 있지만, 실제로는 외부 서버에서 다운로드되는 방식입니다.
이들 추가적인 프로그램들 중에는 안철수연구소(AhnLab) V3 보안 제품에서 악성 프로그램으로 사전 차단하는 등의 동작을 확인할 수 있을 정도로 신뢰할 수 있는 프로그램이 아닐 수도 있습니다.
그러므로 소프트웨어를 다운로드하실 때에는 반드시 제작사 사이트, 유명 공개 자료실을 이용하시는 습관을 가지시기 바라며, 프로그램 설치 뿐만 아니라 다운로드 과정에서 이처럼 추가로 설치되는 항목이 존재한지를 꼼꼼히 확인하는 습관이 필요합니다.
728x90
반응형
갈수록 낚시가 심해지내요...
저도 처음에는 네이버 자료실로 착각했습니다.ㅋ
와 진짜 장난 아니네요 -_-;;;
스폰서 프로그램인지 뭔지
보통 확인해보고 설치하는데 저렇게 구석에다가 해 놓으면 거 참 ;;;
왜들 저럴까요?
제 생각에는 아마 결제당이 아닌 설치당 얼마의 금전적 수익이 발생하니 저렇게 하는게 아닐까 싶습니다.
저 화면에서 보면 정확하게 무슨 프로그램이 설치되는지 통 알 수가 없죠.
'보물섬'이나 '하나포스자료실' 같은줄알고 냅뒀다가 컴퓨터가 초토화됐네요.
구글이나 네이버나 저런 악성블로거를 냅둬버린다는게 참...
오히려 이런 정보를 공개하면 명예훼손으로 신고를 당할 수 있는게 현실입니다.ㅠㅠ
감사합니다.ㅎㅎ
덕분에 블로그낚시를 알게되었네요.ㅎㅎ
그런데, 제가 이 프로그램을 깔고나서부터 몇일마다 제 컴에 불청객(가짜백신)이 찾아오더군요.-_-;
왜 그런건진 모르겠습니다만,참;;;;
안녕하세요.
비단 이런 프로그램이 아니더라도 국내에서 악성코드 치료 프로그램 등을 사용자 동의없이 설치할 목적으로 제작된 악성 파일이 존재할 것으로 보입니다.
사용자 컴퓨터에 설치된 국내에서 제작된 프로그램을 하나씩 검토를 하시기 바라며, 기본적으로 시스템 시작시 생성되는 동작은 시작 프로그램에 등록되는 경향이 강하며, 인터넷을 사용 중에 설치되는 것은 웹 브라우저 추가 기능 관리에서 확인이 가능할 수 있습니다.
워낙 보안 제품의 진단을 교묘하게 피하고 있으므로 보안 제품보다는 사용자가 직접 찾아서 제거해야 할 프로그램이 있을 수 있습니다.
허허, 기가 막힐 노릇이네요.
얼마전 이미지샘이라는 만화책보는 프로그램을 받았는데,
다운로드를 누르자마자 괴상한 창 하나가 뜨더라구요.
그냥 다운로드 해버렸는데, 참.... 이 글을 읽고 왠지 사기를 당한 느낌이 드는군요.
벌새님은 항상 필요한 정보를 많이 공유하시는것같아요. 감사합니다
보통 국내외 소프트웨어 중 인기 프로그램을 중심으로 저렇게 제작하여 배포하는데, 소프트웨어 소개보다는 제휴(스폰서) 프로그램 배포가 목적이라고 봐야겠죠.
옜날에 저런 파일 봐서 안랩에 신고했더니 Win-PUP진단하더라고요...;;
Win-PUP 진단을 안랩이 시작했나봐요?
아직 엔진에 도입하지 않은 것으로 알고 있었는데~^^
cut_e661.exe1 Adware.TVCup.Do.682823
cut_e662.exe1 Adware.MulDrop.Do.523945
cut_e663.exe1 Adware.Pangple.Do.52888
이건 Virobot진단명입니다.. 그리고 Ahnlab은 지금 다시 보니 진단보류네요...ㅡ.ㅡ;;
하우리와 안랩은 다소 국내 애드웨어 진단 정책이 다른 것 같습니다.
하우리는 상당히 스파이웨어 진단정책에 하나라도 부합하면 진단에 추가하는 것으로 보이며, 안랩은 유포 경로 등을 상당히 꼼꼼하게 따져서 스파이웨어 진단정책 그 이상의 증거를 확보한 후 추가를 하는 것으로 보이더군요.