반응형
최근 몇 개월동안 국내에서 서비스하는 웹노트 서비스인 스프링노트(SpringNote) 계정을 이용하여 정상적인 소프트웨어, 게임, 불법 파일 등으로 위장한 악성 프로그램을 블로그에 업로드하여 설치를 유도하는 행위가 있으므로 주의가 요구됩니다.
해당 유포 방식은 2009년경 국내에서 블로그 등 인터넷 게시판을 통해 유포되던 Tpack21, T-Solution Package 방식과 유사하므로 참고하시기 바랍니다.
이번 유포 방식의 경우 개인적으로 다소 관리가 부실한 다음(Daum), 파란(Paran) 등의 블로그를 개설하여 그림과 같이 인터넷 사용자들이 많이 찾는 프로그램을 소개하는 방식으로 유도하여, 해당 게시글에서 제공하는 UPX 실행 압축 방식으로 제작된 실행 파일을 다운로드하도록 구성되어 있습니다.
이들 블로그에 등록된 악성 첨부 파일의 공통점은 UPX 실행 압축과 함께 첨부 파일을 다운로드하는 경로가 스프링노트(SpringNote)에 등록된 계정이라는 점입니다.
해당 스프링노트 계정을 살펴보면 그림과 같이 다양한 파일을 등록하여 금전적 이득을 취하고 있는 것을 확인할 수 있습니다.
테스트에서 확인한 [워크커킥.exe] 설치 파일에 대하여 국내 사용자층이 있는 보안 제품에서는 다음과 같이 진단하고 있습니다.
[SHA1 : 6c70d1c1c2aefd99e5277f2b8fa0bb244658a5a5]
※ 바이러스토탈(VirusTotal) : 7/43
AhnLab V3 : Downloader/Win32.FraudLoad
avast! : Win32:Genome-LG
Dr.Web : Trojan.DownLoader1.21622
Kaspersky : Trojan-Downloader.Win32.FraudLoad.xzly
※ 바이러스토탈(VirusTotal) : 7/43
AhnLab V3 : Downloader/Win32.FraudLoad
avast! : Win32:Genome-LG
Dr.Web : Trojan.DownLoader1.21622
Kaspersky : Trojan-Downloader.Win32.FraudLoad.xzly
물론 설치 파일을 진단하지 않더라도 실제 해당 파일을 통해 설치되는 과정에서 더 많은 보안 제품이 설치되는 일부 프로그램(파일)에 대해 추가적인 진단을 할 수 있습니다.
하지만 실제 해당 프로그램의 구성을 보면 내부에 존재하는 다수의 프로그램에 대해 완벽하게 차단을 할 수 없으므로 설치 파일을 진단하는 것이 가장 좋다고 판단됩니다.
해당 프로그램의 스폰서 프로그램은 총 6개이지만, 실제 이들 프로그램을 설치하면 각 프로그램이 또 다른 제휴(스폰서) 프로그램을 설치할 여지가 있는 프로그램이 존재하므로 실제로는 블로그에서 제시한 1개의 프로그램이 6개의 프로그램을 설치하고 또 다시 10여개의 프로그램으로 확장될 여지가 있습니다.
이런 방식으로 프로그램 유포자는 설치당 스폰서 프로그램 업체로부터 금전적 수익을 받을 것으로 추정되며 사용자는 원치 않는 프로그램의 설치로 인해 인터넷 사용시 광고 노출, 인터넷 검색 정보 제공 등 다양한 문제가 야기됩니다.
그러므로 정상적인 소프트웨어를 다운로드하실 때에는 블로그 등 인터넷 게시판이 아닌 프로그램 제작사 홈페이지를 이용하시기 바라며, 프로그램 설치시 제공되는 정보를 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.
728x90
반응형