반응형
국내에서 제휴(스폰서) 프로그램을 사용자 컴퓨터에 설치하도록 유도하기 위한 방법으로 올해 가장 합법적인 형태로 배포가 이루어지고 있는 부분이 공개 자료실 형태로 운영되는 방식이 아닌가 생각됩니다.
대부분 이들 공개 자료실은 국내외 유명 소프트웨어를 다운로드하기 위해 ActiveX 설치를 통해 이루어지도록 구성되어 있지만, 일부 서비스의 경우 다운로더(Downloader) 파일로 제작하여 공개 자료실이 아닌 블로그(Blog), 카페, 게시판 등에서 파트너 계약을 통해 유포되고 있습니다.
대부분 이들 공개 자료실은 국내외 유명 소프트웨어를 다운로드하기 위해 ActiveX 설치를 통해 이루어지도록 구성되어 있지만, 일부 서비스의 경우 다운로더(Downloader) 파일로 제작하여 공개 자료실이 아닌 블로그(Blog), 카페, 게시판 등에서 파트너 계약을 통해 유포되고 있습니다.
이런 방식은 사용자 눈을 속이는 부분이 수시로 발견이 되어 문제 제기를 블로그를 통해 몇 차례 분석을 해보았으나, 최근에는 조금 더 복잡한 경로를 거쳐서 파일 다운로드를 시도하는 과정에서 제휴(스폰서) 프로그램을 설치하도록 하는 부분이 있기에 살펴보도록 하겠습니다.
SNS 서비스 미투데이(me2DAY)를 통한 악성코드 유포가 확인이 된 것처럼 인기를 끌고 있는 SNS 서비스를 통해 어떻게 사용자에게 접근을 하는지 미투데이(me2DAY) 서비스 사례를 통해 살펴보겠습니다.
기존에는 특정 공개 자료실 링크를 바로 표시를 하거나, 최근에 확인된 유명 사이트 유사 도메인을 이용한 방법이 있었는데 이런 방식은 해당 공개 자료실의 도메인을 일반 사용자가 쉽게 확인을 할 수 있다는 점에서 이번에는 단축 URL 방식을 이용하고 있습니다.
즉, 블로그에서 제공하는 단축 URL 링크를 통해 다운로드한 파일은 FileLand 프로그램을 설치하는 동작을 하며, 사용자가 재실행을 하였을 경우 [C:\Program Files\FileLand\FileLand.exe] 파일을 불러와 실행하는 방식입니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\fileland
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FileLand_is1
HKEY_CURRENT_USER\Software\fileland
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FileLand_is1
프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\FileLandSetup.exe] 파일을 수동으로 삭제하시기 바랍니다.
위와 같이 미투데이(me2DAY)를 비롯한 SNS 서비스, 블로그, 단축 URL 서비스로 연결하여 배포하는 소프트웨어는 숨은 의도가 있을 수 있으므로 소프트웨어 다운로드는 되도록 제작사 홈페이지를 이용하시기를 권장하며, 프로그램 설치시에는 추가적으로 설치가 될 수 있는 제휴(스폰서) 프로그램의 존재 여부를 꼼꼼하게 체크를 하시기 바랍니다.
728x90
반응형
Trojan/Win32.Gen 진단명은 처음보내요...;;
포괄적인 Gen 진단 같습니다.
왜 안나오나 하고 있었는데, 역시 존재했군요. 이런 식의 광고/스폰서용 애드웨어 성향의 PUP들이 블로그 등을 통해 유포되기 시작한 것에 비하면 무척이나 빨리 트위터나 미투데이 같은 SNS에 적용된 것 같습니다.
예전에 티스토리에서 많이 발견되더니 티스토리에서 자체적으로 필터링을 한 것 같더군요.
그래서 다소 관리가 안되는 쪽으로 이동도 하는 분위기 같습니다.
새로운 진단명 같네요. TS엔진에 추가된 휴리스틱 진단명 아닐까요?
추가된 것은 맞는 것 같은데 이전에 가끔 보기는 했습니다.