울지않는벌새 : Security, Movie & Society

nProtect로 위장한 국내 제휴(스폰서) 프로그램 유포 사례 (2011.7.5)

벌새::Analysis
기존부터 블로그, 카페 등 인터넷 게시판을 통해 국내외 유명 소프트웨어 등을 단축 URL 방식으로 링크를 걸어 파일을 다운로드하여 설치 과정에서 사용자가 제대로 인지하지 못하는 과정에서 제휴(스폰서) 프로그램을 설치하는 방식이 발견되고 있습니다.

최근에는 국내 보안 제품 nProtect 다운로드 링크로 위장하여 유포가 이루어지고 있는 부분을 발견하여 기존과 비교하여 달라진 점을 살펴보도록 하겠습니다.

이번 사례는 카페 덧글에 nProtect 보안 제품 다운로드 링크로 소개하면서 구글(Google)에서 제공하는 단축 URL 서비스(goo.gl)를 이용한 링크를 포함하고 있으며, 최종적으로 국내 특정 서버에서 nProtect.exe 파일을 다운로드하도록 되어 있습니다.

참고로 해당 설치 파일(MD5 : f0982c7ee2f23b84d3e6a8cf9142e48d)은 AVG 보안 제품에서 PSW.Generic8.BXXT 진단명으로 진단되고 있으며, nProtect 보안 제품에서는 Trojan/W32.Agent.770048.EC 진단명으로 진단 추가가 이루어졌습니다.

해당 설치 파일을 실행할 경우 기존과 동일한 SFX 실행 압축 방식으로 설치시 사용자 눈에 보이지 않는 추가 구성 요소 6개를 추가하여 사용자가 체크 해제를 하지 않고 압축 풀기 버튼을 클릭할 경우 설치하도록 제작되어 있습니다.

[추가 구성 요소]

1. 악성코드 치료 프로그램 : 안티디펜드(AntiDefend) (2011.5.14)
 - MD5 : 49745d5068a37161c83b4b51d0c25f8f
 - Dr.Web : Trojan.Fakealert.18496
 - nProtect : Trojan/Dropper.W32.AntiDefend.N1.A

2. 검색 도우미 : SmartTool (2011.4.11)
 - MD5 : 53c49d06e8616acd5b2fb1d7ff0416ef
 - Hauri ViRobot : Trojan.Win32.Downloader.521696
 - nProtect : Trojan/Dropper.W32.SmartTool.N3.A

3. 개인정보 보안 솔루션 : 프라이버시뷰(PrivacyView) (2011.5.11)
 - MD5 : 6ca9d4a869cfde9fa0c2d6a5fb74e016
 - Hauri ViRobot : Trojan.Win32.FakeAV.1386296
 - nProtect : Trojan/Dropper.W32.PrivacyView.N1.A

4. 바로가기 플러스
 - MD5 : f640224d1c3e094b21f0c35f5352c246
 - nProtect : Adware/Shortcut.Absite.B

5. 클립뷰
 - MD5 : 5af21b241a5c7b5156537d677d076c93
 - nProtect : Downloader/W32.ClibView.N1.A

6. 세븐 링크
 - MD5 : e0cc8de1bfc814d26920c89bb3947ced
 - nProtect : Trojan/Dropper.W32.SevenLink.N1.A

실제 해당 설치 파일을 통해 압축을 풀었을 경우 nProtect와 관련해서는 [C:\Documents and Settings\(사용자 계정)\My Documents\NPROTECT\NPROTECT.jpg] 폴더에 사진 파일 하나만 생성하는 동작이 발견되고 있으며 nProtect 프로그램 설치는 존재하지 않습니다.

NPROTECT.jpg

위와 같은 제휴(스폰서) 프로그램 설치 방식은 사용자에게 이용약관 제시 및 동의 과정을 거치는 절차가 존재하지만, 추가 구성 요소 관련 항목을 사용자가 찾기 힘들게 숨겨두는 방식으로 구성하였기에 보안 제품의 진단 정책을 우회하고 있습니다.

설치되는 제휴(스폰서) 프로그램 중에서는 삭제 기능을 제공하지 않으면서 대량의 즐겨찾기, 바로가기 아이콘 생성 등의 동작으로 금전적 수익을 얻거나 검증 받지 못한 보안 제품으로 자동 연장 결제를 유도하는 프로그램이 많으므로 주의하시기 바랍니다.