본문 바로가기

벌새::Analysis

콩나물 사이트 콘텐츠 보안 프로그램의 수상한 진단

728x90
반응형
안녕하세요.

국내 온라인 지도 서비스를 제공하는 콩나물(http://www.congnamul.com/) 사이트의 컨텐츠 보안 프로그램에 대해 이야기를 해 보겠습니다.

사용자 삽입 이미지

콩나물 웹사이트에 접속하여 상단 메뉴의 [위성사진]을 클릭하시면 ActiveX 설치창이 나옵니다.

사용자 삽입 이미지

해당 컨트롤러는 파수닷컴(http://www.fasoo.com/)에서 제공하는 해당 서비스에 대한 콘텐츠 보안 프로그램으로 추정됩니다.

해당 ActiveX 에서 제공하는 일부 파일을 유명 백신에서 진단하는 문제를 발견하였습니다.

사용자 삽입 이미지

[fph.exe]
Antivirus Version Last Update Result
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 -
Authentium 4.93.8 2008.04.18 -
Avast 4.8.1169.0 2008.04.17 -
AVG 7.5.0.516 2008.04.18 SHeur.DM
BitDefender 7.2 2008.04.18 -
CAT-QuickHeal 9.50 2008.04.17 -
ClamAV 0.92.1 2008.04.18 -
DrWeb 4.44.0.09170 2008.04.18 BACKDOOR.Trojan
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5709 2008.04.18 -
Ewido 4.0 2008.04.18 -
F-Prot 4.4.2.54 2008.04.18 -
F-Secure 6.70.13260.0 2008.04.18 -
FileAdvisor 1 2008.04.18 -
Fortinet 3.14.0.0 2008.04.18 -
Ikarus T3.1.1.26 2008.04.18 -
Kaspersky 7.0.0.125 2008.04.18 -
McAfee 5276 2008.04.17 -
Microsoft 1.3408 2008.04.18 -
NOD32v2 3038 2008.04.18 -
Norman 5.80.02 2008.04.18 -
Panda 9.0.0.4 2008.04.18 Suspicious file
Prevx1 V2 2008.04.18 -
Rising 20.40.42.00 2008.04.18 -
Sophos 4.28.0 2008.04.18 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.18 -
TheHacker 6.2.92.282 2008.04.18 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.17 -
Webwasher-Gateway 6.6.2 2008.04.18 -
Additional information
File size: 176128 bytes
MD5...: ceede0c04b34994579f7c1e0338c81f8
SHA1..: fa64af642a156be3bb8cef20e338e0d2c68ab9b7
SHA256: abae71c88c1c802686ebd7a0d60d296082ced5613f09c118340e4a02c8533965
SHA512: 5a0d2c6cb4ba937ebeccadb470310636bf40375ebbb9888f763c208282ba2941
c590783ce1ac89af01c6a8b26fea114254a99411d0f77e231fbf629519bd6095

[f_drscan.exe]
Antivirus Version Last Update Result
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 TR/Agent.110592.1
Authentium 4.93.8 2008.04.17 -
Avast 4.8.1169.0 2008.04.17 -
AVG 7.5.0.516 2008.04.18 -
BitDefender 7.2 2008.04.18 -
CAT-QuickHeal 9.50 2008.04.17 -
ClamAV 0.92.1 2008.04.18 -
DrWeb 4.44.0.09170 2008.04.18 -
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5709 2008.04.18 -
Ewido 4.0 2008.04.18 -
F-Prot 4.4.2.54 2008.04.18 -
F-Secure 6.70.13260.0 2008.04.18 -
FileAdvisor 1 2008.04.18 Low threat detected
Fortinet 3.14.0.0 2008.04.18 Adware/DigitalNames
Ikarus T3.1.1.26.0 2008.04.18 Win32.SuspectCrc
Kaspersky 7.0.0.125 2008.04.18 -
McAfee 5276 2008.04.17 potentially unwanted program Adware-DigitalNames
Microsoft 1.3408 2008.04.18 Adware:Win32/DigitalNames

NOD32v2 3037 2008.04.18 -
Norman 5.80.02 2008.04.16 -
Panda 9.0.0.4 2008.04.18 -
Prevx1 V2 2008.04.18 ADWARE.DIGITALNAMES.A
Rising 20.40.42.00 2008.04.18 -
Sophos 4.28.0 2008.04.18 -
Sunbelt 3.0.1056.0 2008.04.17 SpamTool.Win32.Agent.t
Symantec 10 2008.04.18 Spyware.DigitalNames

TheHacker 6.2.92.282 2008.04.18 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.17 -
Webwasher-Gateway 6.6.2 2008.04.18 Trojan.Agent.110592.1
Additional information
File size: 110592 bytes
MD5...: 85e8d7f30d5236c1dce76b73e58a7724
SHA1..: 42a71ee53d01c4118c9772596f8ef69f47d524ad
SHA256: cedf9716808545a64a3dd13d05028eeb87c1e5de893dd94cf63b61adb8173f15
SHA512: fa489148b0d3cd7a4066d8a94e6f2e66426e1c7545945004eb3d0cbf6b43cb5d
e6bd1f286484b49b9a470ca08ff32a317ee793256716016f89f50f1e240f3da7

진단명을 보면, 국내 키워드 서비스를 제공하는 디지털네임즈 프로그램을 다운로드할 수 있는 기능이 포함된 파일이 있는 것으로 보입니다.

현재 디지털네임즈에 관해서 국내 보안업체는 저의 기억으로는 하우리에서 진단에 포함하고 있는 것으로 보입니다.

해당 콩나물 사이트에서 제공하는 이용약관을 살펴보겠습니다.

제 18 조 (광고게재 및 광고주와의 거래)
① 회사는 서비스의 운영과 관련하여 홈페이지, 서비스 화면, e-mail 등에 광고 등을 게재할 수 있습니다.
② 회원이 서비스상에 게재되어 있는 광고를 이용하거나 서비스를 통한 광고주의 판촉활동에 참여하는 등의 방법으로 교신 또는 거래를 하는 것은 전적으로 회원과 광고주 간의 문제입니다. 만약 회원과 광고주간에 문제가 발생할 경우에도 회원과 광고주가 직접 해결하여야 하며, 이와 관련하여 회사는 어떠한 책임도 지지 않습니다.

이용약관을 보시면 홈페이지, 서비스 화면 상에서 광고가 포함될 수 있다고 언급하고 있습니다. 하지만 자신들이 실제 다운로드로 설치를 권장하는 제3자 방식의 프로그램에 대한 구체적인 언급이 없는 것으로 보입니다.

실제 해당 컨트롤러를 설치해서 확인해 보겠습니다.

사용자 삽입 이미지

웹사이트에서 제공하는 방식으로 설치를 시작하였습니다. DRM이라는 것을 봐서는 전형적인 콘텐츠 보호 관련 프로그램으로 보입니다.

사용자 삽입 이미지

설치 후 설치된 폴더와 파일 정보들입니다.

위에서 언급한 수상한 파일들은 Fasoo DRM 폴더 속에 모두 존재하는 파일들입니다.

사용자 삽입 이미지

실제 설치 후에는 콩나물 웹사이트에 접속하지 않고 IE를 닫은 상태에서도 fph.exe 프로세서가 활성화 되어 있는 것을 확인할 수 있습니다.

즉, fph.exe 파일은 콘텐츠 보호 프로그램 관련 파일이라는 것을 간접적으로 제시하는 것으로 보입니다.

사용자 삽입 이미지

윈도우 시작 프로그램 등록에 보시면 2가지의 정보가 추가되어 있습니다.

Dr.Fasoo - f_drscan.exe : 수상한 스캔 프로그램(이름으로 보면 보안 프로그램으로 보이지만, 진단명을 봐서는 다운로드 기능을 내장한 광고 프로그램으로 추정됩니다.)

FPH.Exe : 정상적인 콘텐츠 보호 프로그램 프로세서

위에서 보시는 것처럼 만약 f_drscan.exe 파일이 콘텐츠 보호 프로그램이라면 프로세서에 정상적으로 등록이 되어야 하지 않을까 생각됩니다. 그런데 프로세서에는 등록되어 있지 않으면서 윈도우 시작 정보에 등록이 되어 있다는 것은 업데이트 지원 기능을 가진 다운로드 기능을 포함하고 있는 것으로 보입니다.

그럼 왜 해외 유명 업체들은 해당 진단을 디지털네임즈로 했을까요?

실제 설치된 폴더나 파일에서는 보이지 않고, IE를 동작하여 보아도 키워드 관련해서 추가된 것은 발견하지 못하였습니다.

이전에 해당 파수닷컴의 프로그램이 제휴 계약을 통해 일시적으로 포함한 키워드 서비스였고, 지금은 그 부분이 빠져 있지만, 프로그램 코드에서 제거를 하지 않았을까도 의심이 됩니다.

유명한 콘텐츠 보안 프로그램이면 다른 보안제품에서 자사의 제품이 오진 등으로 진단되지 않는지도 꾸준히 점검해 보는 습관이 필요할 것 같습니다.
728x90
반응형