- Adobe Reader 설치 파일 (MD5 : 846f0a2c707aa4ecd9abed880135c311)
- Adobe Flash Player 설치 파일 (MD5 : 8de55074242fa10ad30e631a0a478860)
다운로드된 Adobe Reader 설치 파일의 정보를 확인해보면 nPds.EXE 파일명으로 등록되어 있으며, 느낌상 국내에서 유행하는 공개형 자료실을 이용한 광고성 프로그램 배포를 위한 파일로 보입니다.
파일을 실행하면 "다운로드 소프트웨어 설치"라는 이름의 설치창을 통해 "추가 설치 프로그램 : 다운로드 소프트웨어"라는 프로그램을 설치한다는 안내가 있습니다.
해당 화면에서 제시하는 "자세히 보기" 버튼을 클릭할 경우, 네이버(Naver) 검색창에 "다운로드 소프트웨어"로 검색된 결과를 표시하는 동작을 확인할 수 있습니다.
다음 단계에서는 이용약관과 함께 "다운로드 소프트웨어" 설치와 관련된 동의 여부를 묻고 있으며, 사용자 입장에서는 Adobe 프로그램 설치를 위한 다운로드 프로그램으로 오해할 소지가 다분합니다.
사용자가 "설치" 버튼을 클릭하면 그림과 같은 화면으로 연결되며, "다운로드 소프트웨어"에 대한 정보는 확인할 수 없는 상태로 설치가 이루어집니다.
다음 단계에서는 Adobe Reader + Google Toolbar 프로그램을 Adobe 서버에서 다운로드하여 자동으로 설치가 이루어지는 동작을 확인할 수 있으며, Adobe Flash Player 프로그램의 경우 Adobe 서버에서 다운로드하지 않는 관계로 구버전 Adobe Flash Player 설치 파일로 인해 설치가 진행되지 않는 것으로 보입니다.
이렇게 Adobe 프로그램이 설치되는 과정에서 특정 서버로부터 "다운로드 소프트웨어"가 다운로드되어 설치되는 동작이 이루어지며, 설치 파일(MD5 : b705f9de2529ca9a3f7fed37ba2f748e)에 대하여 nProtect 보안 제품에서는 Trojan/W32.Agent.186460 (VirusTotal : 3/41) 진단명으로 진단되고 있습니다.
해당 파일의 다운로드시 접속 정보를 확인해보면 기존에 확인되었던 momocell.com 광고 관련 서버가 포함되어 있는 것을 확인할 수 있습니다.
C:\Program Files\smart plugins
C:\Program Files\smart plugins\image
C:\Program Files\smart plugins\Smart Plugin.exe :: 시작 프로그램 등록 파일
C:\Program Files\smart plugins\temp
C:\Program Files\smart plugins\uninst.exe :: 프로그램 삭제 파일
Adobe 프로그램과 함께 설치된 Smart Plugin 1.2 프로그램은 "C:\Program Files\smart plugins" 폴더에 파일을 생성하며, Windows 시작시 Smart Plugin.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
Smart Plugin.exe 파일은 설치된 PC의 Mac Address 체크 및 추가적으로 특정 서버에 접속하여 제휴(스폰서) 프로그램을 체크하도록 구성되어 있습니다.
실제 테스트 과정에서는 추가된 번들(Bundle) 프로그램이 존재하지만 설치로 연결되는 동작은 확인되지 않고 있습니다.
프로그램 삭제는 제어판의 "Smart Plugin 1.2" 삭제 항목을 이용하여 삭제하실 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Smart Plugin 1.2 = C:\Program Files\smart plugins\Smart Plugin.exe
HKEY_CURRENT_USER\Software\Smart Plugin
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Smart Plugin.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Smart Plugin 1.2 = C:\Program Files\smart plugins\Smart Plugin.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Smart Plugin
참고로 만약 Smart Plugin 1.2 프로그램이 정상적으로 동작하여 추가적인 다운로드 시도가 존재할 경우를 가정한 부분을 살펴보도록 하겠습니다.
시스템 시작시 시작 프로그램으로 등록된 Smart Plugin.exe 파일이 자동으로 실행되어 업데이트 또는 다운로드 창을 생성하여 유용한 소프트웨어(예, 알집, 데몬툴즈, 곰플레이어, 네이트온, V3 Lite)를 상위에 배치하고 광고성 프로그램은 맨 하단에 배치하여 사용자의 눈을 회피하는 창을 통해 설치를 유도할 것으로 보입니다.
이를 통해 설치가 이루어지는 광고성 프로그램은 현재 2종이 포함되어 있으며 다음과 같습니다.
1. 삭제를 지원하지 않는 인터넷 쇼핑몰 바로가기 생성 (MD5 : 3637a6cd6606ec902f71013a07cfd2f7)
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 새로운 세상을 여는 문, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵, 시즌 2.url
C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.URL
C:\WINDOWS\11.ico
C:\WINDOWS\auction.ico
C:\WINDOWS\dnshop.ico
C:\WINDOWS\gmarket.ico
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\utlkorea03
해당 프로그램은 즐겨찾기와 바탕 화면에 11번가, 옥션, 디앤샵(d&shop), G마켓 바로가기 아이콘을 생성합니다.
해당 프로그램은 삭제 기능을 제공하지 않으므로 생성 파일, 레지스트리 정보를 참고하여 수동으로 삭제해야 합니다.
2. 응용 프로그램 1.0 (MD5 : d856b7e79f32c2ff2e0a1ae81db4036e)
C:\Documents and Settings\(사용자 계정)\바탕 화면\★2011★무료영화다운로드.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\드라마무료보기.lnk
C:\WINDOWS\★2011★무료영화다운로드.ico
C:\WINDOWS\드라마무료보기.ico
C:\WINDOWS\uninst.exe :: 프로그램 삭제 파일
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\응용 프로그램
해당 "응용 프로그램 1.0" 프로그램은 바탕 화면에 특정 웹하드 바로가기 아이콘 2개를 생성하며, 접속시 네이버(Naver)에서 제공하는 단축 URL 서비스(me2.do) 도메인을 통해 특정 추천인 아이디를 포함하여 웹하드에 접속하도록 구성되어 있습니다.
해당 프로그램의 삭제는 제어판의 "응용 프로그램 1.0" 삭제 항목을 이용하여 삭제할 수 있습니다.
이처럼 해외 유명 소프트웨어 Adobe 시리즈 프로그램을 설치하는 과정에서 유사하게 만들어진 가짜 웹 사이트에서 다운로드할 경우 추가적인 다양한 프로그램이 설치될 가능성이 존재하므로 주의하시기 바랍니다.