유명 소프트웨어 파일로 위장한 파일을 블로그에 등록하여 실행시 사용자 몰래 "탑유틸(TopUtil)" 프로그램을 설치하며, 추가적인 15종의 제휴(스폰서) 프로그램의 설치를 유도하는 다운로드 런쳐(Download Launcher) 프로그램에 대해 살펴보도록 하겠습니다.
프로그램 배포 방식을 살펴보면 다수의 블로그 계정을 이용하여 AhnLab V3 Lite 무료 백신에 대한 소개와 함께 다운로드를 유도하고 있습니다.
실제 다운로드된 AhnLab V3 Lite 설치 파일은 "mediasave" 디지털 서명을 포함하고 있으며, 해당 파일(MD5 : e389c8a81e917714c2b3e37d5cbd7c02)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.1215928 (VirusTotal : 6/43) 진단명으로 진단되고 있습니다.
사용자가 다운로드된 파일을 실행할 경우 "초고속 다운로드 런쳐" 창이 생성됨과 동시에 사용자 몰래 다음과 같은 프로그램이 자동으로 설치됩니다.
C:\Program Files\TopUtil
C:\Program Files\TopUtil\_ver.ini
C:\Program Files\TopUtil\TopUtilDown.exe :: 다운로드 런쳐 프로그램 실행 파일
C:\Program Files\TopUtil\TopUtilService.exe :: 시작 프로그램 등록 파일
C:\Program Files\TopUtil\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\TopUtil\ver.ini
C:\WINDOWS\system32\remover.exe
C:\Program Files\TopUtil\TopUtilDown.exe
- MD5 : 852870f915edbd453c311fa45d32ebf2
- AhnLab V3 : Win-PUP/Downloader.TopUtil.2046128 (VirusTotal : 3/44)
C:\Program Files\TopUtil\TopUtilService.exe
- MD5 : 88433a1f61369212f89f2b9d164dc120
- AhnLab V3 : Win-PUP/Downloader.TopUtil.1693360 (VirusTotal : 3/44)
사용자 몰래 설치된 탑유틸(TopUtil) 프로그램은 "C:\Program Files\TopUtil" 폴더에 생성되며, Windows 시작시 TopUtilService.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
또한 해당 프로그램 설치와 함께 사용자가 블로그를 통해 다운로드한 AhnLab V3 Lite 위장 파일(e34021_V3LiteSG_Setup.exe)은 "C:\WINDOWS\system32\remover.exe" 파일을 통해 자가 삭제 처리됩니다.
해당 "초고속 다운로드 런쳐" 창에서는 사용자가 전송 버튼을 클릭할 경우 특정 서버로부터 2010년경에 안랩(AhnLab)에서 제작하여 배포한 AhnLab V3 Lite 설치 파일을 다운로드하도록 구성되어 있으며, 다운로드 창의 우측 하단에는 사용자가 제대로 인지하지 못하게 숨긴 영역에 15종의 제휴(스폰서) 프로그램이 다수 등록되어 있습니다.
만약 사용자가 해당 제휴(스폰서) 프로그램을 하나씩 체크 해제를 하지 않은 상태에서 다운로드를 시도할 경우 백그라운드 방식의 15종의 수익성 프로그램이 모두 설치되며, 사용자는 어떤 경로를 통해 설치되었는지 제대로 인지하지 못할 것으로 생각됩니다.
사용자가 "초고속 다운로드 런쳐" 창에서 전송 버튼을 클릭하지 않은 상태에서 "닫기(X)" 버튼을 클릭할 경우 그림과 같은 질문창을 통해 사용자가 "예(Y)" 버튼을 클릭하도록 유도하고 있습니다.
그러므로 이런 유사한 다운로드 창이 생성되는 경우에는 꼼꼼하게 화면을 살펴서 추가적으로 설치를 하려는 숨겨진 제휴(스폰서) 프로그램의 체크를 모두 해제한 후 종료를 하시길 권장합니다.
참고로 시작 프로그램으로 등록된 TopUtilService.exe 파일은 시스템 시작시마다 탑유틸(TopUtil) 프로그램의 버전 체크를 하며, 추가적인 수익성 프로그램은 노출되지 않도록 설정되어 있는 것을 확인할 수 있습니다.
프로그램 삭제는 제어판의 "탑유틸" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\WINDOWS\system32\remover.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\TopUtil
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- TopUtilService = C:\Program Files\TopUtil\TopUtilService.exe run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TopUtil
이제 "초고속 다운로드 런쳐" 창에 숨어있는 15종의 수익성 프로그램에 대한 간략한 정보를 살펴보도록 하겠습니다.
(1) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)
- h**p://www.file***.com/**/setup/exad008.exe (MD5 : e062e2d76366ff381d2e59091ed14e67)
해당 프로그램은 파일함(FileHam) 웹하드 서비스 홍보 및 회원 가입 유도 프로그램입니다.
(2) PC 최적화 프로그램 : 라이브피씨(LivePC) (2012.8.25)
- h**p://update.live**.co.kr/***/livepcsetup_pds.exe (MD5 : 0e959912495aa0e9427aa5bbb7aa1e4b) - Hauri ViRobot : Adware.LivePC.184904.B (VirusTotal : 34/42)
해당 프로그램은 PC 사용 흔적 검사를 통해 유료 결제를 유도하는 프로그램입니다.
(3) 검색 도우미 : KCW Ad Matching (2012.4.15)
- h**p://***util.com/***/bundle/adInstall_ad006.exe (MD5 : d93829a58c5a3fdadf0344894c01bcf7) - Hauri ViRobot : Adware.Agent.628880.D (VirusTotal : 24/44)
해당 프로그램은 인터넷 검색시 광고창을 생성하는 검색 도우미 프로그램입니다.
(4) 다운로드 도우미 : 라피드겟(RapidGet) - Windows Download Manager RapidGet (2011.10.28)
- h**p://down.rapid***.co.kr/rpgset_son007.exe (MD5 : 38ea9660043cb92a1277f27728f49c2f) - Hauri ViRobot : Adware.Agent.881024.A (VirusTotal : 19/44)
해당 프로그램은 파일 다운로드 창을 통해 추가적인 수익성 프로그램을 설치 유도하는 프로그램입니다.
(5) 검색 도우미 : Addendum-nm - addendum_sb (2012.10.30)
- h**p://app2.**mon.co.kr/****/addnh12.exe (MD5 : c69a0d82a8f3d878467e2ef0bd8549be) - Hauri ViRobot : Adware.Agent.135540.B (VirusTotal : 18/44)
해당 프로그램은 웹 브라우저의 좌측에 사이드바 광고를 생성하는 검색 도우미 프로그램입니다.
(6) 검색 도우미 : UtilZone (2012.3.20)
- h**p://file.***guide.co.kr/***/UtilZone_UZ97.exe (MD5 : 92ed6c57f40cbbaf1a089673d6658758) - Hauri ViRobot : Adware.Agent.456464.A (VirusTotal : 28/42)
해당 프로그램은 웹 브라우저 상단에 광고바를 생성하는 검색 도우미 프로그램입니다.
(7) 검색 도우미 : KeywordInfo (2012.8.19)
- h**p://***util.com/***/bundle/WkipSetup_204_Hide.exe (MD5 : 0e9c3b954a3f7ffff9e05868ce336bd0) - AhnLab V3 : PUP/Win32.Helper (VirusTotal : 3/44)
해당 프로그램은 인터넷 검색 과정에서 광고창을 생성하는 검색 도우미 프로그램입니다.
(8) 국내 악성코드 : Smart Connection tc services (2012.9.15)
- h**p://www.***click.kr/****/TC2_Channel126.exe (MD5 : 6b9b61e66158d8a0644acd96116c1b32) - nProtect : Trojan/W32.Agent.580520 (VirusTotal : 33/44)
해당 프로그램은 인터넷 검색 과정에서 광고창을 생성하는 검색 도우미 프로그램입니다.
(9) 검색 도우미 : HubHelper (2012.10.27)
- h**p://***util.com/***/bundle/InstallHubHelper_hub006.exe (MD5 : 659c8b63f02b834db9b5ca5845e02c78)
해당 프로그램은 인터넷 검색 과정에서 광고창을 생성하는 검색 도우미 프로그램입니다.
(10) 제휴(스폰서) 프로그램 : Xecure speller Application (2012.9.5)
- h**p://www.spell**.co.kr/distribute/*****/utilq001.exe (MD5 : f0828f330a6b5ea2579271a242584ef5) - AhnLab V3 : PUP/Win32.Speller (VirusTotal : 19/44)
해당 프로그램은 복사 해제 기능 및 Windows 시작시 업데이트 창을 통해 추가적인 수익성 프로그램의 설치를 유도하는 프로그램입니다.
(11) 검색 도우미 : 로컬박스(LocalBox) (2012.10.26)
- h**p://***util.com/***/bundle/inst_LocalBox_B8.exe (MD5 : ff69f221f6dbbf2a03550a882228d9c4)
해당 프로그램은 웹 브라우저의 상태 표시줄에 광고바를 생성하는 검색 도우미 프로그램입니다.
(12) 검색 도우미 : RealPlus (2012.10.21)
- h**p://***util.com/***/bundle/inst_realplus_B8.exe (MD5 : fb0bc5b401f1f159e84f3ed926dad26c) - nProtect : Adware/W32.KrAdword.367968 (VirusTotal : 6/44)
해당 프로그램은 웹 브라우저 실행시 사용자가 지정하지 않은 다수의 광고 사이트로 자동 연결하는 프로그램입니다.
(13) <Right Security Blog> 무료 개인정보 유출 진단 인포스캔(InfoScan)에 포함된 OpenPot 광고 파일 (2012.6.21)
- h**p://dn.info****.co.kr/**/down/infoscan/binst/InfoBInst_INFO0420001.exe (MD5 : 3720c3d28bb2a91ad51beb328e84e7a5)
해당 프로그램은 개인정보 유출 진단 기능 제공 및 광고창 생성 기능을 가진 개인정보 보안 솔루션 프로그램입니다.
(14) 검색 도우미 : WindowsClick (2012.10.26)
- h**p://***util.com/***/bundle/Setup_goNoAgreeDef_HIDE.exe (MD5 : 2dea87b9acfbd1db9d1aa7433aad0d7e)
해당 프로그램은 인터넷 검색시 광고창을 생성하는 검색 도우미 프로그램입니다.
(15) 검색 도우미 : Windows topsearch ad-System [topsearch] (2012.10.31)
- h**p://***search.or.kr/****/topsearch_channel11.exe (MD5 : 7f446be44c9715273166d510b353c630) - Hauri ViRobot : Adware.Agent.915856.A (VirusTotal : 19/44)
해당 프로그램은 인터넷 검색시 광고창을 생성하는 검색 도우미 프로그램입니다.
이처럼 사용자가 한 번의 실수로 원치 않는 다수의 수익성 프로그램이 설치될 경우 PC 사용에 심각한 불편을 유발할 수 있으므로, 되도록 블로그에 등록된 첨부 파일 또는 링크(URL)를 통한 프로그램 다운로드는 하지 않도록 하시기 바랍니다.