본문 바로가기
벌새::Analysis

교육 기관에 등록된 잘못된 Adobe Reader 설치 파일의 정체 (2012.6.30)

벌새 2012. 6. 30. 21:04
반응형

국내 특정 직업전문학교 협의회(2010년 10월 파일 등록), 특정 교육과학기술부 인정 학점은행 원격 교육기관(2011년 4월 파일 등록) 등의 웹 사이트에서 제공하는 Adobe Reader 설치 파일이 정상적인 설치 파일이 아닌 것으로 확인되고 있습니다. 

이들 웹 사이트에서는 그림과 같은 형태로 PDF 문서를 보기 위한 Adobe Reader 프로그램을 설치할 수 있도록 설치 파일을 다운로드할 수 있도록 지원하고 있습니다. 

하지만 Adobe Reader 설치 파일(MD5 : bf8d54800c6e5510a6464e492844e460)을 다운로드하는 과정에서 알약(ALYac) 보안 제품에서 Trojan.Generic.KD.659654 (VirusTotal : 7/42) 진단명으로 진단되는 동작을 확인할 수 있습니다. 

진단된 Adobe Reader 설치 파일(AdbeRdr90_ko_KR.exe)의 속성값을 확인해보면, "WOWDownloader MFC 응용 프로그램"이라는 정보를 확인할 수 있습니다.

 

국내 애드웨어(Adware) 유포에 관심이 있는 분들이라면 익숙한 파일 다운로더 패턴임을 쉽게 눈치챌 수 있으리라 판단됩니다. 

해당 파일을 실행하면 최초 특정 업데이트 서버로부터 4종의 국내에서 제작된 수익성 프로그램의 설치 파일이 인터넷 임시 폴더에 자동으로 다운로드되는 동작을 확인할 수 있습니다.

 

(1) 개인정보 보안 솔루션 : 이지프라이버시(ezPrivacy) - ezPrivacy2 (2010.8.3)

  • h**p://****-guri.co.kr/upload/util/EzPrivacySetup.exe (MD5 : a16d4acce0c92fb0181706c7f0e06a43) - nProtect : Trojan-Clicker/W32.Fakealert.127963 (VirusTotal : 32/42)

(2) <Right Security Blog> 검색 도우미 : 윈툴(WinTool) (2011.5.23)

  • h**p://****-guri.co.kr/upload/util/WinToolSetup_utilheaven.exe (MD5 : 6afd9c0138821dfae71915f9e3011864) - Hauri ViRobot : Dropper.A.Dapato.215350 (VirusTotal : 30/42)

(3) <Right Security Blog> 제휴(스폰서) 프로그램 : 버튼가이드(ButtonGuide) 1.0 - Button_Guide (2012.6.30)

  • h**p://****-guri.co.kr/upload/util/Button_GuideSetup_utilheaven.exe (MD5 : 8ff649ccc2b907d755dd0c71c7aae4c4)

(4) <Right Security Blog> 제휴(스폰서) 프로그램 : 사이트 바로가기 1.0 (2012.6.30)

  • h**p://****-guri.co.kr/upload/util/SiteBaconSetup_utilheaven.exe (MD5 : 50c7edb1cc433aa5556f540245f037f9)

그 후 생성된 "다운로더(초고속 모드)" 창에서는 Adobe Reader 프로그램의 설치 파일을 다운로드하도록 유도하고 있으며, 우측에는 제휴 프로그램이 다수 등록되어 있는 것을 확인할 수 있습니다.

 

흥미로운 점은 일반적으로 이런 방식으로 등록된 제휴 프로그램은 기본값으로 체크가 된 상태로 되어 있지만, 해당 다운로더 창에서는 체크가 해제되어 있는 것을 확인할 수 있습니다.

 

하지만 이 부분에서 사용자는 모든 제휴 프로그램의 체크가 해제된 것으로 착각할 수 있으며, 스크롤바를 하단으로 내리면 마지막 1개의 제휴 프로그램(이지 프라이버시)은 체크되어 있는 것을 확인할 수 있습니다. 

이런 기본값 상태에서 실제 Adobe Reader 설치 파일을 다운로드 시도할 경우, 신뢰할 수 없는 국내 공개 자료실로부터 파일을 다운로드하여 자동으로 설치를 진행하는 동작을 확인할 수 있습니다. 

이 과정에서 이미 인터넷 임시 폴더에 다운로드된 설치 파일을 이용하여 백그라운드 방식으로 1개의 제휴 프로그램이 설치되는 동작을 확인할 수 있지만, 체크된 "이지 프라이버시" 개인정보 보안 솔루션 프로그램이 아닌 "사이트 바로가기 1.0" 광고 프로그램이 설치되고 있습니다.

 

이들 교육 기관 웹 사이트에 어떤 이유로 수익성 프로그램을 배포 목적으로 제작된 다운로더 파일이 등록되었는지 알 수 없지만, 인터넷 상에서 파일을 다운로드하여 설치할 경우 추가적으로 설치될 수 있는 제휴 프로그램이 있는지 꼼꼼하게 확인하시기 바랍니다.

728x90
반응형

티스토리툴바