728x90
반응형
국내에서 발견되는 다양한 공개 자료실 형태 중 ActiveX 설치 방식 또는 파일 다운로드를 통한 다운로더(Downloader)를 이용한 배포로 인하여 일부 인터넷 사용자들은 원치않는 제휴(스폰서) 프로그램이 설치될 수 있다고 언급한 적이 있습니다.
이번에 살펴볼 방식은 이런 추가적인 제휴 프로그램 중 일부가 해당 업체 서버를 이용하지 않고 트래픽 문제를 해결하기 위한 것으로 추정되는 티스토리(Tistory) 블로그를 이용하는 사례를 살펴보도록 하겠습니다.
이번에 살펴볼 방식은 이런 추가적인 제휴 프로그램 중 일부가 해당 업체 서버를 이용하지 않고 트래픽 문제를 해결하기 위한 것으로 추정되는 티스토리(Tistory) 블로그를 이용하는 사례를 살펴보도록 하겠습니다.
참고로 최근 티스토리에서는 일부 대용량 파일 저장소로 블로그에 첨부 파일 형태로 저장하는 문제로 트래픽 유발 행위가 있다고 보아 일부 정책을 변경한 상태이므로 참고하시기 바랍니다.
특정 공개 자료실에서 Daum 클리너 다운로드를 위하여 781.4KB로 표기된 DaumCleaner.exe 파일을 다운로드할 수 있도록 공개하고 있습니다.
하지만 실제 다운로드되는 DaumCleaner.exe 파일의 용량은 271KB 크기임을 확인할 수 있습니다.
다운로드된 파일은 Daum 클리너 설치 파일이 아닌 Speed Downloader 파일로 이전에 살펴본 공개 자료실 다운로더(Downloader)와 유사한 형태임을 추정할 수 있습니다.
참고로 다운로드된 Speed Downloader 파일(MD5 : a97d1020514d87d1ce03abc713b30094)에 대하여 Kaspersky 보안 제품에서는 Trojan-PSW.Win32.Delf.fdr (VirusTotal : 13/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
실제 해당 파일을 실행해보면 기존의 Downloader와 동일하게 추가적인 광고 배너와 제휴(스폰서) 프로그램이 포함되어 있습니다.
하지만 해당 프로그램들은 실제 설치시 어떠한 제품 관련 이용약관 제시 등 화면상으로 제시되는 정보가 전혀 존재하지 않는 문제점이 있습니다.
[배너 광고 URL 정보]
h**p://file****.co.kr/app/ad.php
h**p://event.sora****.com/images/banner/150-150.gif
[무제한 무료 다운로드 URL 정보]
h**p://file****.co.kr/spon/spon.exe <접속 차단>
[바이오백신 URL 정보]
h**p://file****.co.kr/spon/spon2.exe (MD5 : d749f45a070b0312feced753ed4dff0c)
AhnLab V3 : Win-Trojan/Genome.54272.AF (VirusTotal : 32/42)
- h**p://down.bio*******.co.kr/app/partner/biovaccine_filefree_s_norun.exe
[유튜브 감상 URL 정보]
h**p://file****.co.kr/spon/spon3.exe (MD5 : df6bd55ad4bcf0e7ec06c40bc2ad87b3)
Sophos : Mal/DownLdr-AC (VirusTotal : 12/42)
- h**p://rose****.tistory.com/attachment/cfile25.uf@136E15244BACF5C001EC2D.exe
- h**p://cfile**.uf.tistory.com/attach/136E15244BACF5C001EC2D
h**p://file****.co.kr/app/ad.php
h**p://event.sora****.com/images/banner/150-150.gif
[무제한 무료 다운로드 URL 정보]
h**p://file****.co.kr/spon/spon.exe <접속 차단>
[바이오백신 URL 정보]
h**p://file****.co.kr/spon/spon2.exe (MD5 : d749f45a070b0312feced753ed4dff0c)
AhnLab V3 : Win-Trojan/Genome.54272.AF (VirusTotal : 32/42)
- h**p://down.bio*******.co.kr/app/partner/biovaccine_filefree_s_norun.exe
[유튜브 감상 URL 정보]
h**p://file****.co.kr/spon/spon3.exe (MD5 : df6bd55ad4bcf0e7ec06c40bc2ad87b3)
Sophos : Mal/DownLdr-AC (VirusTotal : 12/42)
- h**p://rose****.tistory.com/attachment/cfile25.uf@136E15244BACF5C001EC2D.exe
- h**p://cfile**.uf.tistory.com/attach/136E15244BACF5C001EC2D
spon3.exe
이들 제휴 프로그램 중에서 유튜브 감상 프로그램의 경우 spon3.exe 파일을 통해 특정 티스토리(Tistory) 블로그에 등록된 파일을 다운로드하여 설치를 하는 동작을 확인할 수 있습니다.해당 티스토리 블로그를 확인해보면 어떠한 게시물도 등록되어 있지 않은 상태에서 해당 유튜브 감상 프로그램 설치 파일을 등록하여 실제 해당 업체 서버가 있는데도 불구하고 트래픽을 우회하고 있는 것으로 추정됩니다.
물론 설치 파일의 용량이 3.67MB로 대용량 파일은 아닐지라도 외부의 블로그 서비스를 파일 배포 수단으로 이용한다는 점은 올바른 배포 방식은 아닐 것이라 생각됩니다.
전체적으로 Speed Downloader를 이용한 제휴 프로그램 배포 방식은 현재 국내외 보안 제품에서 진단되는 부분이 존재하며, 유명 소프트웨어를 이런 신뢰할 수 없는 공개 자료실을 통해 다운로드하는 과정에서 문제가 다양하게 발생할 수 있습니다.
그러므로 소프트웨어 다운로드는 반드시 제작사 사이트를 이용하는 습관을 가지시기 바랍니다.
728x90
반응형