본문 바로가기

벌새::Analysis

클릭 투 트윅(Click To Tweak) 도메인을 이용한 제휴(스폰서) 프로그램 유포 사례 (2012.5.14)

반응형

국내 무료 시스템 최적화 프로그램 클릭 투 트윅(Click To Tweak) 프로그램은 "개꿈닷넷(rodream.net)" 공식 홈 페이지를 통해 서비스를 제공하고 있습니다. 

그런데 최근 클릭 투 트윅(Click To Tweak) 프로그램의 이름을 이용한 "clicktotweak.com" 도메인을 통해 "클릭투트윅 자료실(Click to Tweak Library)"이라는 사이트가 운영되고 있는 것을 확인할 수 있습니다.

 

해당 사이트는 2012년 3월 22일 등록되어 있으며, 근래 심심찮게 확인되고 있는 유명 소프트웨어 이름을 내세운 공개 자료실 중의 하나로 추정됩니다.

클릭 투 트윅(Click To Tweak) 공식 홈 페이지에서 제공하고 있는 설치 파일(우측)과 이번에 발견된 자료실에서 제공하는 설치 파일(좌측)은 아이콘 모양부터 다른 것을 확인할 수 있습니다.

 

  <Right Security Blog> 해외 압축 프로그램을 이용한 스폰서 프로그램 유포 (2012.1.10)

 

해당 아이콘으로 추정해보면 올해 초 확인된 해외 압축 프로그램을 이용하여 이번과 유사하게 자료실을 운영하면서 수익성 프로그램을 설치 유도하는 방식과 동일한 형태임을 확인할 수 있습니다. 

해당 자료실에서 제공하는 클릭 투 트윅(Click To Tweak) 설치 파일의 속성을 확인해보면 "Download_Guide" 파일로 표시하고 있으며, "POSTMEDIA Co., Ltd" 디지털 서명이 추가되어 있는 것을 확인할 수 있습니다. 

실제 파일을 실행해보면 클릭 투 트윅(Click To Tweak) 프로그램 설치 단계가 아니라 파일 다운로드를 위한 다운로더(Downloader) 형태이며, 하단에는 흐릿한 문구로 다수의 제휴(스폰서) 프로그램이 체크된 상태로 등록되어 있는 것을 확인할 수 있습니다.

 

만약 사용자가 해당 항목의 체크 해제를 하지 않은 상태로 클릭 투 트윅(Click To Tweak) 프로그램의 다운로드를 위해 "무료 다운 시작" 버튼을 클릭하면 설치 파일 다운로드와 함께 백그라운드 방식으로 다수의 수익성 프로그램들이 설치됩니다.

 

만약 이런 배포 방식을 잘 아는 사용자가 해당 체크를 모두 해제하고 파일 다운로드를 시도할 경우에는 "유틸탑 다운로더, 언인스톨, 업데이터" 프로그램이 다음과 같이 필수 항목으로 설치가 이루어지게 됩니다. 

해당 프로그램은 "C:\Program Files\utiltop" 폴더에 파일을 생성하며, Windows 시작시 utiltop_update.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

설치된 "Utiltop Update Guide" 프로그램은 시스템 시작시 그림과 같은 업데이트 창을 통해 또 다시 추가된 수익성 프로그램을 설치하도록 유도하는 동작을 확인할 수 있습니다. 

그러므로 해당 업데이트 창이 시스템 시작시 생성된다면 제어판의 "utiltop Update Guide" 삭제 항목을 이용하여 삭제하시기 바랍니다.

 

마지막으로 현재 분석 시점에서 클릭 투 트윅(Click To Tweak) 프로그램 다운로드를 시도할 경우, 추가된 제휴(스폰서) 프로그램의 정보는 다음과 같습니다.

 

(1) <Right Security Blog> 제휴(스폰서) 프로그램 : 아이플러스(IPlus) (2010.6.1)

  • h**p://www.util***.com/app/IPlusSetup_utiltop.exe (MD5 : 3504229c83f535f3f3e6cd24aadeb7bb) - AhnLab V3 : PUP/Win32.IPlus (VirusTotal : 10/42)

(2) 검색 도우미 : 윈애드툴(WinAddTool) (2012.1.10)

  • h**p://down.***addtool.com/setup_p001_s.exe (MD5 : f4c298e475c8995ac5896a4939135996) - AhnLab V3 : PUP/Win32.Helper (VirusTotal : 20/40)

(3) 검색 도우미 : 스마트키워드(SmartKeyword) (2010.7.22)

  • h**p://down.**-plus.co.kr/setup_skplus04_s.exe (MD5 : 836f449c7f064af90be028d5a8d6e84f) - AhnLab V3 : Win-PUP/Helper.SkPlus.322544 (VirusTotal : 12/42)

(4) 야후(Yahoo) 시작 페이지

  • h**p://www.util***.com/app/YSPS_20276022_168.exe (MD5 : 8cd9055776a74c56c4e1aa207b91bc4e) - nProtect : Trojan-Dropper/W32.Agent.62560 (VirusTotal : 12/42)

해당 프로그램은 홈 페이지(시작 페이지)를 특정 코드가 포함된 야후(Yahoo)로 변경하므로, 인터넷 옵션에서 사용자가 지정한 페이지로 변경하시기 바랍니다.

 

(5) 검색 도우미 : 오픈키워드(OpenKeyword) (2011.12.21)

  • h**p://www.util***.com/app/OKExtern.exe (MD5 : 71c2070d94db8b1d67c867e7676710a7) - AhnLab V3 : PUP/Win32.OpenKeyword (VirusTotal : 18/41)

(6) PC 최적화 프로그램 : 베스트피씨(BestPC) (2012.1.21)

  • h**p://update.best-**.co.kr/set/best-pcsetup_victory.exe (MD5 : 84d0de99fbda8a1947ca5a860250a0dd) - AhnLab V3 : PUP/Win32.BestPc (VirusTotal : 19/42)

(7) 악성코드 제거 프로그램 : 굿스캔(GoodScan) (2012.3.22)

  • h**p://www.util***.com/app/goodscan_utiltop.exe (MD5 : a5d9f61865be8cacd824b63094774d17) - AhnLab V3 : PUP/Win32.UtilTop (VirusTotal : 28/42)

(8) 컴퓨터 종료 프로그램 : 컴오프(ComOff)

  • h**p://down.com***.kr/files/utiltop_inst.exe (MD5 : 21f4cabf08f9e70a0a36ee59b3f4dc1e)

해당 프로그램은 컴퓨터 종료 프로그램으로 프로그램 업데이트 기능을 통해 추가적인 수익성 프로그램이 설치될 가능성이 존재할 것으로 추정됩니다.(※ 차후 분석 정보 공개 예정)

 

(9) 개인정보 보안 솔루션 : 하이프로텍트(HiProtect) (2012.5.13)

  • h**p://down.**protect.co.kr/app/install/hiprotect_Process_s_run.exe (MD5 : 5f4750609743fbdc60594eb38bb880bc) - Hauri ViRobot : Adware.agent.1941456 (VirusTotal : 24/41)

(10) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)

  • h**p://www.file***.com/ad/setup/exad007.exe (MD5 : 76015b29b9baaf80a428e13a1ed8a384)

(11) 제휴(스폰서) 프로그램 : Windows RightClick Copy (2012.4.1)

  • h**p://www.right*****.co.kr/down/RaclSetup_son001.exe (MD5 : ba4bdacc038e91611f17e013ff95ec24)

(12) 검색 도우미 : Internet linelink Client (2012.4.23)

  • h**p://down.line****.co.kr/setup/linelinkset01.exe (MD5 : 2908e9e5506db265fe7f5a1bf9389ac2) - AhnLab V3 : PUP/Win32.LineLink (VirusTotal : 25/42)

위와 같은 다수의 수익성 프로그램은 버튼 클릭 한 번으로 설치될 수 있으므로 프로그램 다운로드 및 설치시에는 항상 꼼꼼하게 화면을 살피는 습관을 가지시기 바랍니다.

728x90
반응형