울지않는벌새 : Security, Movie & Society

Recuva 한글판 웹 사이트를 이용한 제휴 프로그램 배포 주의 (2012.10.19)

벌새::Analysis

해외 Piriform Ltd 업체에서 제공하는 삭제된 파일 복원 기능을 제공하는 Recuva 프로그램을 이용하여 제휴(스폰서) 프로그램을 배포하는 행위에 대해 살펴보도록 하겠습니다. 

프로그램 배포 방식을 살펴보면 포털 사이트에서 특정 키워드 값으로 검색시 등록된 개인 도메인(pe.kr)을 통해 "Recuva 한글판"을 배포하는 것처럼 다운로드를 유도하고 있습니다.

 

  <Right Security Blog> 해외 압축 프로그램을 이용한 스폰서 프로그램 유포 (2012.1.10)

 

  가짜 Adobe 다운로드 자료실 주의 (2012.2.27)

 

  클릭 투 트윅(Click To Tweak) 도메인을 이용한 제휴(스폰서) 프로그램 유포 사례 (2012.5.14)

 

   CPU-Z 한글판을 이용한 "사용자 업데이트 컨트롤(User dnControler manager)" 유포 주의 (2012.8.26)


위와 같은 유사 웹 사이트를 통해 국내외 유명 소프트웨어 다운로드를 이용한 수익성 프로그램 배포 방식은 기존부터 확인이 되었던 사례가 있었으므로 참고하시기 바랍니다. 

해당 사이트에서 제공하는 다운로드 링크를 통해 파일을 다운로드할 경우, Recuva 공식 홈 페이지에서 제공하는 설치 파일과는 다른 아이콘 모양의 파일을 받아오는 것을 확인할 수 있습니다.

 

참고로 해당 설치 파일(MD5 : c8723975ac6893765ae5c3781089dacd)에 대하여 avast! 보안 제품에서는 Win32:Adware-ADV [Adw] (VirusTotal : 8/43) 진단명으로 진단되고 있습니다. 

다운로드된 설치 파일의 속성값을 살펴보면 2012년 9월 12일경 서버에 등록된 것으로 추정되며, "DownLoadC MFC 응용 프로그램"이라는 이름으로 보아 파일 다운로드 창이 생성되는 방식으로 설치가 될 것으로 보입니다. 

실제 파일을 실행해보면 국내에서 수익성 프로그램 배포 방식으로 많이 활용되는 다운로드 창이 생성되며, 우측 하단에서는 매우 작은 창을 통해 숨겨진 4종의 수익성 프로그램이 추가되어 있는 것을 확인할 수 있습니다.

 

사용자가 해당 수익성 프로그램의 체크값 모두를 해제하지 않은 상태에서 전송 버튼을 클릭할 경우, Recuva 설치 파일 다운로드와 함께 백그라운드 방식으로 4종의 프로그램이 설치되는 동작이 이루어집니다. 

우선 다운로드된 Recuva 프로그램을 살펴보면 배포 사이트에서 강조하는 Recuva 한글판은 존재하지 않는 것을 볼 수 있으며 있습니다. 

현재 추가되어 있는 4종의 수익성 프로그램에 대한 간략한 정보는 다음과 같습니다.

 

(1) "utool Uninstall (remove only) ." 프로그램

  • h**p://guide****.pe.kr/sponlist/zero03.exe (MD5 : 4001f891ff9c4806fd5556988020cbd7) - Hauri ViRobot : Adware.Utool.144091 (VirusTotal : 9/43)

해당 프로그램은 업데이트 기능을 이용하여 추가적인 수익성 프로그램을 설치할 목적으로 제작된 프로그램으로 추정되며, 차후 분석 정보를 제공하겠습니다.

 

(2) 검색 도우미 : UtilZone (2012.3.20)

  • h**p://guide****.pe.kr/sponlist/UtilZone__UZ144.exe (MD5 : 11a08d03e588da37297e031c519cc691) - nProtect : Adware/W32.KrAdword.75520 (VirusTotal : 20/43)

해당 프로그램은 웹 브라우저 상단에 광고바를 생성하는 검색 도우미 프로그램입니다.

 

(3) 검색 도우미 : IETab (2012.3.20)

  • h**p://guide****.pe.kr/sponlist/IETab__IE132.exe (MD5 : 9d0a74632f9ba2ffbab78f0d47201720) - Hauri ViRobot : Trojan.Win32.Downloader.74520 (VirusTotal : 16/43)

해당 프로그램은 인터넷 검색시 광고창을 생성하는 검색 도우미 프로그램입니다.

 

(4) 검색 도우미 : WinPro (2012.3.21)

  • h**p://guide****.pe.kr/sponlist/WinPro__WP123.exe (MD5 : 2d878ebe6ecbe35a52b9a4a448ad3c91) - Hauri ViRobot : Adware.WinPro.75520.C (VirusTotal : 15/43)

해당 프로그램은 인터넷 검색시 웹 브라우저 좌측에 사이드바 광고를 생성하는 검색 도우미 프로그램입니다.

 

위와 유사한 방식으로 유명 소프트웨어의 이름을 이용한 웹 사이트를 제작하여 눈에 보이지 않는 영역에 수익성 프로그램을 숨겨서 다운로드를 유도하는 전문 솔루션 서비스가 있는 것이 아닌가 생각됩니다.

 

그러므로 프로그램 다운로드는 공식 홈 페이지를 이용하여 설치 파일을 받으시기 바라며, 프로그램 설치 또는 다운로드 과정에서 제시되는 정보를 잘 확인하여 추가적인 프로그램이 설치되지 않도록 각별히 주의하시기 바랍니다.