울지않는벌새 : Security, Movie & Society

알약 2.0으로 위장한 국내 제휴(스폰서) 프로그램 유포 사례 (2011.7.10)

벌새::Analysis
올해 5월경부터 네이버(Naver) 카페 덧글을 중심으로 다양한 유명 소프트웨어로 위장한 단축 URL 방식의 설치 파일 다운로드를 통하여 제휴(스폰서) 프로그램을 설치하도록 하는 사례가 지속적으로 발견되고 있었습니다.

특히 최근에는 국내 보안 제품 nProtect로 위장한 파일까지 등장하고 있으며, 이번에는 이스트소프트(ESTSoft)사에서 제공하는 무료 백신 알약(ALYac) 2.0 설치 파일까지 확인이 되었기에 살펴보도록 하겠습니다.

확인된 덧글은 6월 20일경에 작성된 것으로 확인이 되고 있으며, 구글(Google)에서 제공하는 단축 URL 서비스(goo.gl)를 이용하여 알약 2.0 다운로드 링크로 위장하여 설치를 유도하고 있습니다.

세부적인 다운로드 접속 로그를 확인해보면 덧글에 게시된 goo.gl 단축 URL 링크를 통해 접속된 1차 사이트에서는 리다이렉트 방식으로 또 다른 2차 사이트로 연결을 시도하여 알약2.0.exe 파일을 다운로드하도록 구성되어 있습니다.

다운로드된 설치 파일(MD5 : f5701c6587dc561932bbc016f34dc202)에 대하여 Jiangmin 보안 제품에서는 Trojan/JmGeneric.ya (VirusTotal : 4/43) 진단명으로 진단되고 있습니다.

해당 설치 파일을 실행하면 기존과 동일하게 SFX 실행 압축 방식으로 압축을 풀도록 구성되어 있으며, 사용자의 눈에 보이지 않는 추가 구성요소 영역에 총 7개의 제휴(스폰서) 프로그램을 추가하고 있습니다.

[추가 구성 요소]

검색 도우미 : WinSearchTop (2011.7.9)
 - MD5 : 454e7752a68e9504aaeb6a0936008dfb

※ nProtect 위장 파일 분석 당시와 비교하여 새롭게 추가된 제휴(스폰서) 프로그램만 기록하였습니다.

해당 설치 단계를 간단하게 살펴보면 사용자가 설치 파일을 실행할 경우 특정 서버에 접속을 하여 추가 구성 요소 정보를 확인하는 동작이 이루어지고 있습니다.

GET /list.php?ver=1.1.0 HTTP/1.1
Accept: */*
Cache-Control: no-cache
User-Agent: None
Host: yeongasi.kr
Connection: Keep-Alive
Pragma: no-cache


해당 서버의 등록자를 확인해보면 특정 개인보다는 사업자 이름을 가지는 업체로 보이며, 다양한 네이버 아이디(ID)를 이용한다는 점에서 타인의 개인정보를 무단으로 이용하고 있는 것이 아닌가 의심이 됩니다.

알약2.0.jpg

압축 해제가 이루어진 경우 다음의 2개의 파일을 생성하며, 실제 알약 설치 동작은 이루어지지 않는 제휴(스폰서) 프로그램 설치 목적의 가짜 파일입니다.

  • C:\Documents and Settings\(사용자 계정)\My Documents\알약2.0\알약2.0.jpg
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\temp.zip :: 숨김(H) 속성

참고로 바탕 화면에 생성된 숨김 속성의 zip 압축 파일 내에는 알약2.0.jpg 그림 파일이 포함되어 있습니다.

이외에도 다수의 덧글에서 동일한 방법으로 알약을 비롯하여 사운드포지 프로그램 다운로드 링크로 위장한 광고 행위가 지속적으로 발견되고 있습니다.

  1. 사운드포지.exe (MD5 : 20a502e85b183af984fae0281d785876)
  2. 배틀필드3.exe (MD5 : c9dda60f2189a1f4326186f5c0dce38e)
  3. 웹브라우저.exe (MD5 : 4e4a16f2767ef0912b83628b04876d30)

현재 보안 업체에서는 설치시 동의 절차가 존재하기 때문에 진단을 하지 않는 경향이 강한 것으로 보이지만, 설치되는 제휴(스폰서) 프로그램 중에서는 삭제 기능을 제공하지 않는 등 악성 프로그램이 존재하므로 대응이 필요하다고 개인적으로 생각합니다.

또한 소프트웨어 다운로드는 반드시 해당 업체 홈페이지에서 다운로드하는 습관을 가지시기 바라며, 설치 과정에서 추가로 설치되는 프로그램 존재 여부를 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.