벌새::Analysis

네이버(Naver) & 티스토리(Tistory) 유사 도메인을 이용한 스폰서 프로그램 유포 주의

울지않는 벌새 2010. 7. 8. 14:38

일전에 블로그를 중심으로 한 국내 특정 공개 자료실에서 제공하는 다운로더(Downloader) 프로그램의 문제점을 지적하면서 무료 백신 알약(AlYac)을 설치하는 과정에서 보안 제품의 진단이 발생하는 사례를 공개한 적이 있었습니다.

블로그를 통한 알약(AlYac) 설치 파일 다운로드 주의 (2010.4.22)

최근 위와 유사한 방식으로 사용자 컴퓨터에 원치않는 프로그램이 설치되어 해당 문제에 대해 문의가 들어와(보통 저에게 문의하는 사람들이 없습니다. 얼마나 급하셨으면 ) 확인하는 과정에서 기존과 동일한 공개 자료실의 문제로 확인이 되었으나, 이번에는 추가적으로 사용자의 눈을 속이기 위해 다음과 같은 방식을 이용하고 있는 것을 확인할 수 있었습니다.

블로그 게시글의 댓글에 그림과 같이 첨부 파일로 강조한 바로가기 형태로 zip 압축 파일을 다운로드할 수 있는 것처럼 구성을 하고 있습니다. 하지만 실제 다운로드가 완료되면 압축 파일이 아닌 exe 실행 파일임을 확인할 수 있습니다.(실행 파일 아이콘은 이런 쪽에 관심있는 분들이라면 무슨 자료실인지 짐작이 되시리라 생각됩니다.)

h**p://file.naver.**unse.com/download.php?code=util&cid=1091&search_code=best

여기서 흥미로운 사실은 해당 링크 주소가 네이버(Naver) 자료실로 착각을 할 수 있게 구성을 하여 마치 네이버 자료실에서 다운로드를 하는 것으로 생각하게 만들고 있습니다.

또 다른 사례를 살펴보면 블로그 게시글을 통해 해외 소프트웨어를 소개하면서 첨부 파일로 구성된 zip 압축 파일 모양의 링크를 통해 위에서 소개한 것과 동일한 exe 실행 파일을 다운로드하도록 배포되고 있습니다.(파일명은 다르지만 모두 동일한 MD5값을 갖는 공개 자료실 다운로더 파일입니다.)

h**p://guliver.tistory.com.**util.com/download.php?code=util&cid=1050&search_code=best

해당 링크의 경우에는 마치 티스토리(Tistory) 블로그에 업로드하여 첨부된 것으로 눈속임을 하기 위해 도메인을 위와 같이 구성하고 있지만, 실제로는 외부 서버에서 다운로드되는 방식입니다.

위와 같은 네이버 자료실 또는 티스토리 블로그 첨부 파일로 위장하여 다운로드된 파일을 실행할 경우, 그림과 같은 프로그램 다운로더 실행창과 함께 스폰서 목록이라는 매우 작은 창에 다수의 제휴(스폰서) 프로그램이 숨어있어 사용자가 해당 항목을 하나씩 체크 해제를 하지 않을 경우 파일 다운로드 과정에서 자동으로 설치되는 문제가 발생하고 있습니다.

이들 추가적인 프로그램들 중에는 안철수연구소(AhnLab) V3 보안 제품에서 악성 프로그램으로 사전 차단하는 등의 동작을 확인할 수 있을 정도로 신뢰할 수 있는 프로그램이 아닐 수도 있습니다.

그러므로 소프트웨어를 다운로드하실 때에는 반드시 제작사 사이트, 유명 공개 자료실을 이용하시는 습관을 가지시기 바라며, 프로그램 설치 뿐만 아니라 다운로드 과정에서 이처럼 추가로 설치되는 항목이 존재한지를 꼼꼼히 확인하는 습관이 필요합니다.

728x90

Genesispark 2010.07.08 14:54 신고 댓글주소 수정/삭제 댓글쓰기

갈수록 낚시가 심해지내요...
- 울지않는 벌새 2010.07.08 15:13 신고 댓글주소 수정/삭제
  
  저도 처음에는 네이버 자료실로 착각했습니다.ㅋ
윤뽀 2010.07.08 15:02 신고 댓글주소 수정/삭제 댓글쓰기

와 진짜 장난 아니네요 -_-;;;
스폰서 프로그램인지 뭔지
보통 확인해보고 설치하는데 저렇게 구석에다가 해 놓으면 거 참 ;;;
왜들 저럴까요?
- 울지않는 벌새 2010.07.08 15:13 신고 댓글주소 수정/삭제
  
  제 생각에는 아마 결제당이 아닌 설치당 얼마의 금전적 수익이 발생하니 저렇게 하는게 아닐까 싶습니다.
  
  저 화면에서 보면 정확하게 무슨 프로그램이 설치되는지 통 알 수가 없죠.
피해자 2010.07.08 23:57 댓글주소 수정/삭제 댓글쓰기

'보물섬'이나 '하나포스자료실' 같은줄알고 냅뒀다가 컴퓨터가 초토화됐네요.
구글이나 네이버나 저런 악성블로거를 냅둬버린다는게 참...
- 울지않는 벌새 2010.07.09 00:21 신고 댓글주소 수정/삭제
  
  오히려 이런 정보를 공개하면 명예훼손으로 신고를 당할 수 있는게 현실입니다.ㅠㅠ
스타즈 2010.07.09 14:07 댓글주소 수정/삭제 댓글쓰기

감사합니다.ㅎㅎ

덕분에 블로그낚시를 알게되었네요.ㅎㅎ

그런데, 제가 이 프로그램을 깔고나서부터 몇일마다 제 컴에 불청객(가짜백신)이 찾아오더군요.-_-;

왜 그런건진 모르겠습니다만,참;;;;
- 울지않는 벌새 2010.07.09 15:59 신고 댓글주소 수정/삭제
  
  안녕하세요.
  
  비단 이런 프로그램이 아니더라도 국내에서 악성코드 치료 프로그램 등을 사용자 동의없이 설치할 목적으로 제작된 악성 파일이 존재할 것으로 보입니다.
  
  사용자 컴퓨터에 설치된 국내에서 제작된 프로그램을 하나씩 검토를 하시기 바라며, 기본적으로 시스템 시작시 생성되는 동작은 시작 프로그램에 등록되는 경향이 강하며, 인터넷을 사용 중에 설치되는 것은 웹 브라우저 추가 기능 관리에서 확인이 가능할 수 있습니다.
  
  워낙 보안 제품의 진단을 교묘하게 피하고 있으므로 보안 제품보다는 사용자가 직접 찾아서 제거해야 할 프로그램이 있을 수 있습니다.
미스앤나이스 2010.07.09 19:04 신고 댓글주소 수정/삭제 댓글쓰기

허허, 기가 막힐 노릇이네요.
얼마전 이미지샘이라는 만화책보는 프로그램을 받았는데,
다운로드를 누르자마자 괴상한 창 하나가 뜨더라구요.
그냥 다운로드 해버렸는데, 참.... 이 글을 읽고 왠지 사기를 당한 느낌이 드는군요.

벌새님은 항상 필요한 정보를 많이 공유하시는것같아요. 감사합니다
- 울지않는 벌새 2010.07.09 19:16 신고 댓글주소 수정/삭제
  
  보통 국내외 소프트웨어 중 인기 프로그램을 중심으로 저렇게 제작하여 배포하는데, 소프트웨어 소개보다는 제휴(스폰서) 프로그램 배포가 목적이라고 봐야겠죠.
bradly1 2010.07.10 17:15 댓글주소 수정/삭제 댓글쓰기

옜날에 저런 파일 봐서 안랩에 신고했더니 Win-PUP진단하더라고요...;;
- 울지않는 벌새 2010.07.10 17:38 신고 댓글주소 수정/삭제
  
  Win-PUP 진단을 안랩이 시작했나봐요?
  
  아직 엔진에 도입하지 않은 것으로 알고 있었는데~^^
bradly1 2010.07.11 11:24 댓글주소 수정/삭제 댓글쓰기

cut_e661.exe1 Adware.TVCup.Do.682823
cut_e662.exe1 Adware.MulDrop.Do.523945
cut_e663.exe1 Adware.Pangple.Do.52888

이건 Virobot진단명입니다.. 그리고 Ahnlab은 지금 다시 보니 진단보류네요...ㅡ.ㅡ;;
- 울지않는 벌새 2010.07.11 11:27 신고 댓글주소 수정/삭제
  
  하우리와 안랩은 다소 국내 애드웨어 진단 정책이 다른 것 같습니다.
  
  하우리는 상당히 스파이웨어 진단정책에 하나라도 부합하면 진단에 추가하는 것으로 보이며, 안랩은 유포 경로 등을 상당히 꼼꼼하게 따져서 스파이웨어 진단정책 그 이상의 증거를 확보한 후 추가를 하는 것으로 보이더군요.