본문 바로가기

벌새::Analysis

goo.gl 단축 URL를 이용한 국내 제휴(스폰서) 프로그램 유포의 변화 (2012.3.23)

728x90
반응형
2010년 하반기부터 국내 인터넷 게시판, 블로그, 카페 등을 중심으로 구글(Google)에서 제공하는 단축 URL 서비스 goo.gl 주소를 통해 제휴(스폰서) 프로그램을 유포하는 방식이 지속적으로 확인되고 있었습니다.

  CCleaner를 이용한 국내 제휴(스폰서) 프로그램 유포 사례 (2011.5.16)

  nProtect로 위장한 국내 제휴(스폰서) 프로그램 유포 사례 (2011.7.5)

  알약 2.0으로 위장한 국내 제휴(스폰서) 프로그램 유포 사례 (2011.7.10)

특히 해당 유포 방식이 유명 소프트웨어 다운로드처럼 사용자를 속이는 방식으로 배포가 이루어진다는 점에서 문제를 몇 차례 제기한 적이 있었습니다.

그런데 최근 2012년 2월경으로 추정되는 시점부터 새로운 업데이트 서버가 등장하면서 기존의 업데이트 서버는 서서히 죽어가는 모습을 보이고 있기에 변화된 부분에 대해 살펴보도록 하겠습니다.

기존에 확인된 업데이트 서버를 통해 유포되던 가장 최신 버전의 경우 "Self-Installer Extractor Module 1.1.2.1" 버전까지 확인이 되고 있었습니다.

다운로드된 파일을 실행할 경우 "압축 풀기" 창이 생성되어 프로그램 압축 해제 과정에서 사용자의 부주의를 유발하여 "추가 구성 요소"에 등록된 추가적인 광고성 프로그램을 설치하도록 제작되어 있습니다.
  1. 팝링크(PopLink) - MD5 : a4b92b7e4554b0d533f3eb96cf43ca16
  2. 야후(Yahoo) 시작 페이지 설정 - MD5 : a99da1432235548078f90d6fb5a4e078
GET /list.php?ver=1.1.0 HTTP/1.1
Accept: */*
Cache-Control: no-cache
User-Agent: None
Host: yeongasi.kr
Connection: Keep-Alive

당시 사용된 업데이트 서버는 국내 DNS 서버와 웹 호스팅을 이용하고 있으며, 2010년 9월경에 등록되어 현재까지 유지되고 있습니다.

그런데 네이버(Naver) 카페 덧글 방식으로 배포되는 기존과 동일한 유포 방식 중에서 다운로드된 설치 파일에 변화를 확인할 수 있습니다.

설치 파일(MD5 : d7f183d9b1c89904ac9a86cc970218b8)을 확인해보면 "Ex-Installer Setup Module 1.1.2.2" 버전으로 변경이 이루어진 것을 확인할 수 있습니다.

참고로 해당 파일에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Downloader (VirusTotal : 4/42) 진단명으로 진단되고 있습니다.

해당 파일을 실행하면 기존의 배포 파일과 유형은 동일하며 "추가 구성 요소" 항목에 다수의 광고성 프로그램이 포함되어 있는 것을 확인할 수 있습니다.
  1. 야후(Yahoo) 시작 페이지 설정 - MD5 : a99da1432235548078f90d6fb5a4e078
  2. 팝링크(PopLink) - MD5 : a4b92b7e4554b0d533f3eb96cf43ca16
  3. 마이크로웹(MicroWebAD) - MD5 : 89d4ceabddb7f96f5d0d6910e18a6518 - AhnLab V3 : Win-PUP/Helper.MicroWebAd.1509232 (VirusTotal : 6/43)
  4. 베스트피씨(BestPC) - MD5 : 436507feaa7b018f93e714bdc7a8cea0 - Hauri ViRobot : Adware.Agent.200728 (VirusTotal : 23/43)
  5. 키워드탭(KeywordTab) - MD5 : 4ecf4672a77eb3fec6fc48da3136594d - Hauri ViRobot : Trojan.Win32.S.Agent.820224.A (VirusTotal : 29/43)
  6. SafeGuide - MD5 : 11ca594fa24d97a8a37662c33fdea0d0
  7. Internet SubJet Client - MD5 : 730d55e9156ad012b5290f638005ef71 - Hauri ViRobot : Trojan.Win32.Adload.690688 (VirusTotal : 30/43)
  8. Addendum - MD5 : 22d242c8734b072f76ee38f5a1b03ffd
GET /list.php?ver=1.1.0 HTTP/1.1
Accept: */*
Cache-Control: no-cache
User-Agent: None
Host: itsph.com
Connection: Keep-Alive

변화된 해당 버전의 업데이트 서버를 확인해보면 DNS 서버는 미국(USA)으로 변경되었으며, 웹 서버만 국내에 등록되어 있는 것을 확인할 수 있습니다.

업데이트 서버를 정리해보면 기존 업데이트 서버와 변경된 업데이트 서버는 마치 다른 유포자처럼 보이지만, 실제 웹 사이트가 "Linux/Unix" 서버로 호스팅 된다는 점과 WIZCDN 서버를 이용한 점에서 동일한 유포자로 보입니다.

배포 방식은 사용자에게 이용약관과 동의를 거치는 모양을 갖추고 있지만, 사용자의 부주의를 유발하여 다양한 광고 프로그램을 다수 설치한다는 점에서 앞으로도 위와 같은 배포 방식의 파일을 절대로 실행하지 않도록 주의하시기 바랍니다.

728x90
반응형