PES 2012 데모 유출판으로 위장한 국내 애드웨어 유포 (2011.8.31)

최근 블로그를 통해 Pro Evolution Soccer 2012 데모 유출판을 다운로드할 수 있다는 식으로 첨부 파일을 통해 실행을 유도하는 유포 행위를 확인하였습니다.

해당 첨부 파일은 zip 압축 파일이며 내부에는 멀티 다운로드 프로그램 FlashGet과 유사한 아이콘 모양의 실행 파일(MD5 : c46345df85ad1bfd32a5f5d44081e4ca)이 포함되어 있습니다.

해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Adware/Win32.KorAd (VirusTotal : 11/44) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

해당 파일을 실행하면 PES 2012 Demo라는 타이틀로 데모 설치 파일, 패치(Patch), 크랙(Crack)을 다운로드할 수 있도록 구성되어 있으며, 추가적으로 무료 회원 가입과 관련된 항목도 포함되어 있습니다.

이 파일 초기 실행 과정을 잠시 확인해보면 사용자가 파일을 실행함과 동시에 국내 어바웃탑바(abouttopbar) 관련 사이트에 쿼리를 보내며, 실행과 관련된 체크를 하는 것을 확인할 수 있습니다.

• 검색 도우미 : 어바웃탑바(abouttopbar) (2011.3.18)

해당 프로그램은 인터넷 검색시 웹 브라우저에 광고 툴바가 노출되는 것으로 알려져 있으며, 해당 파일 실행시에는 추가적인 설치는 이루어지지 않고 있습니다.

실제 해당 파일의 최종 목표를 확인해보면 프로그램 종료를 포함한 각종 제공되는 버튼을 클릭하면 회원 가입을 유도하는 메시지를 확인할 수 있습니다.

해당 메시지 생성 후 자동으로 그림과 같은 국내 웹하드 회원 가입 페이지로 연결이 되는 것을 확인할 수 있습니다.

이 과정에서 uh.to 도메인을 경유하여 웹하드 추천인 아이디가 포함된 상태로 회원 가입을 유도하고 있는 것을 확인할 수 있습니다.

참고로 해당 파일의 로그인 버튼을 통해 알 수 없는 계정의 아이디와 비밀번호를 입력하여 로그인을 시도하는 과정에서는 외부로 정보가 유출되는 동작을 발견되지 않고 있습니다.

결론적으로 해당 파일은 웹하드 가입을 유도할 목적으로 제작된 것을 알 수 있지만, 파일 실행시 특정 광고업체가 체크를 한다는 점에서 주의가 요구됩니다.