본문 바로가기

벌새::Security

다음(Daum)의 허술한 바이러스 규제 정책

반응형
인터넷을 이용하다가 포털 사이트에서 제공하는 블로그에 첨부 파일 방식으로 악성코드를 유포하는 행위를 발견하면 되도록 업체에서 제공하는 신고 절차에 따라 신고를 하는 편입니다.

과거 네이버(Naver) 블로그에서 발견한 건에 대해 신고를 하였다가 게시글이 정책상 문제가 없다는 답변을 받은 적이 있었지만, 그 후 네이버에서는 상당히 만족스럽게 악성코드 유포와 관련된 게시글 또는 블로그에 대해 차단을 하고 있습니다.

반면 다음(Daum)측에서는 여전히 자신들이 정한 규정과는 다르게 대응이 이루어지고 있기에 한 가지 사례를 통해 살펴보도록 하겠습니다.

참고로 Daum에서 서비스하는 Daum 블로그에서는 분명히 바이러스와 같은 악성코드에 대해 규제를 한다고 명기하고 있습니다.

하지만 이번 사례에서 보여질 게시글에 대해서는 그림과 같이 이용약관 및 운영 원칙에 위배되는 내용이 없다는 답변을 받았습니다.

문제의 게시글은 2009년 10월경에 제작된 악성 파일로 11월경 Daum 블로그에 클럽박스 속도 패치로 위장하여 Zip 압축 파일 형태로 등록되어 있습니다.

해당 압축 파일 내부에는 클럽박스 아이콘 모양으로 구성되어 있으며, 파일(MD5 : f84354f97b15ab1fe5bf64b6665c88d8)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서 Trojan/Win32.Scar (VirusTotal : 31/41) 진단명으로 진단되고 있습니다.

해당 파일을 실행할 경우 사용자에게는 좌측 그림과 같은 클럽박스 속도 패치가 가능한 것처럼 위장한 창이 생성되며, 클럽박스 프로그램을 실행하도록 유도하고 있는 것을 확인할 수 있습니다.

하지만 실제로는 해당 파일은 다음과 같은 악의적인 동작이 이루어지고 있습니다.

최초 파일을 실행하며 "C:\WINDOWS\kb371064p1.exe" 파일을 생성하여 다음과 같은 파일을 사용자 몰래 설치하고 자신은 삭제가 됩니다.


C:\WINDOWS\system32\NetwareVlme.ocx (MD5 : e401fc0fda0a4d27c1f5bd1d782b1ae8)
 - AhnLab V3 : Win-Trojan/Downloader.28672.RD (VirusTotal : 30/41)

C:\WINDOWS\system32\NwModv.dll (MD5 : 6c41814673d1513d33d3618f7cc8c71b)

생성된 NetwareVlme.ocx 파일은 숨김(H), 시스템(S) 속성으로 윈도우 기본값으로는 보이지 않으며, 해당 파일은 서비스 항목에 NetwareSvcsV3 라는 이름으로 등록됩니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWARESVCSV3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetwareSvcsV3

서비스에 등록된 NetwareSvcsV3 항목은 Netware Service 2라는 이름으로 표시되며 NetwareVlme.ocx 파일은 NwModv.dll 파일을 로딩하여 홍콩(HongKong)에 위치한 "202.59.156.124 :810" IP 서버에 연결을 시도하고 있습니다.

참고로 실제 현재는 해당 IP가 죽어 있지만, 유포 당시에는 추가적인 악성 파일 다운로드 등의 동작이 이루어졌을 것으로 추정됩니다.

위와 같은 악성코드가 첨부된 게시글에 대해 Daum 측에서는 어떤 절차에 따라 검증을 하여 해당 게시글이 규제되어야 할 이용약관 정책에 부합되지 않는지 의구심이 듭니다.

마지막으로 블로그와 같은 곳에 첨부 파일 또는 링크로 제공되는 각종 파일에 대해서는 함부로 다운로드하여 실행하지 않도록 주의하시기 바랍니다.

728x90
반응형
  • 익명 2011.04.24 00:09 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 분석 도구 이름이 무엇인지 물어보시는거죠?

      위에꺼는 http://tcpmonitor.altervista.org/tcpeye-network-monitoring/ 에서 제공하는걸로 무료입니다.

      파란색꺼는 올리디버거 비슷한 도구입니다. 무료는 아니라서 따로 프로그램 이름은 안적겠습니다.^^;

    • process explorer과 비슷한 프로그램인거같습니다 잘사용하고있습니다 ^^ 감사합니다

  • Daum 고객센터에는 보안 관련 전문가는 없는가 보군요?
    아니면 진단 프로그램 문제로 압축 파일은 그냥 모두 안전하다고 생각하는 것인지도.. ㅎㅎ
    Daum 고객센터에 벌새님의 이 글을 링크해 주는 것이 좋을 듯 합니다.^^

  • 다음이 망하는 이유가 바로 그겁니다 ㅡㅡ;
    요즘들어 더욱 다음 이용자가 줄어서 수익이 줄어든다라나 뭐라나 그런 소리를 자주 들었는데, 정작 저런 부분의 서비스나 타 질적으로 후달리니 원...

  • 게임 크랙을 받으려는데 무슨 악성코드 규제한다고 안받아집니다...

    • 블로그에 올려진 파일 중에서는 크랙 파일을 다운로드하려는 사용자를 대상으로 엄청난 양의 광고 프로그램이나 악성 파일을 설치하려는 경우가 많습니다.

      그런 블로그를 서비스 제공업체에서는 규제하는 경우가 있습니다.

  • 노이해 2015.09.07 15:22 댓글주소 수정/삭제 댓글쓰기

    아니, 내가 악성코드를 다운받겠다는데
    뭔상관인지 원