본문 바로가기

벌새::Analysis

알약(ALYac) 유사 도메인을 이용한 광고 행위 주의 (2011.9.3)

이스트소프트(ESTsoft)사에서 제공하는 무료 백신 알약(ALYac)과 유사한 도메인을 이용하여 파일 다운로드 유도 및 광고 행위를 하는 것을 확인하였습니다.


유포 방식은 인터넷 게시판 등을 통해 특정 파일 다운로드 링크가 포함되어 있을 것으로 추정되며, 파일 다운로드시 alyackorea.com 도메인을 이용하고 있습니다.(※ 해당 도메인은 2011년 8월 18일 등록)

해당 도메인을 살펴보면 국내 cafe24 웹 호스팅을 통해 서비스가 이루어지고 있으며, 사이트 자체는 Forbidden 상태를 유지하고 있습니다.


해당 도메인을 통해 다운로드된 파일은 [파일전송]이라는 이름으로 등록되어 있으며, 해당 파일(MD5 : 2b1f4f15bd1e1accd34136245da423cf)에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Genome.cshv (VirusTotal : 15/44) 진단명으로 진단되고 있습니다.

해당 파일을 실행하면 국내 특정 파일 공개 자료실에서 fast_ping_setup.exe 파일을 다운로드하는 것을 확인할 수 있습니다.

다운로드된 파일은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\fast_ping_setup.exe] 위치에 생성이 되며, DownloadManager라는 이름으로 표시되는 것을 확인할 수 있습니다.

자동 실행된 fast_ping_setup.exe 파일은 전형적인 자료실에서 제공하는 다운로더(Downloader) 형태를 가지고 있으며, 우측 하단에 사용자가 제대로 인지하지 못하도록 다수의 제휴(스폰서) 프로그램을 포함하고 있습니다.

이를 통해 사용자가 파일 다운로드를 실행할 경우 전송 과정에서 이들 추가 프로그램이 함께 설치될 수 있습니다.

해당 다운로더에서 제공하는 파일을 다운로드를 실제로 진행해보면 다운로드 완료 후 자동으로 [블랙마켓 2.8.0.6] 이라는 알 수 없는 프로그램 설치 파일이 실행되며, 설치 과정에서 접속이 끊어졌다는 메시지와 함께 무료 회원 가입을 유도하는 것을 확인할 수 있습니다.

해당 메시지를 통해 연결을 시도하는 곳은 국내 특정 웹하드 회원 가입 페이지이며, 연결 과정에서 사용자 몰래 추천인 아이디가 포함되는 것을 확인할 수 있습니다.

이번 사례와 같이 유명 도메인과 유사하게 구성하여 파일 다운로드 및 실행을 유도하며, 설치 과정에서 추가적인 프로그램 설치 및 웹하드 가입을 통해 돈벌이를 하는 것으로 보이므로 주의하시기 바랍니다.