울지않는벌새 : Security, Movie & Society

반복적으로 다운로드 창을 생성하는 다운로드 도우미?

벌새::Analysis

블로그 첨부 파일 또는 링크(URL)를 이용하여 사용자들이 많이 검색하는 소프트웨어 파일을 다운로드하도록 유도하여 제휴(스폰서) 프로그램을 설치 유도하는 방식 중 다운로드 창이 반복적으로 생성되는 사례를 살펴보도록 하겠습니다.

살펴볼 파일은 주로 블로그를 통해 배포가 이루어지고 있는 것으로 추정되는 mp3 파일 변환 프로그램 관련 파일(mp3_converter.exe)로, 파일 속성값에서는 "Free Downloader (Mini webhard)"라는 값을 가지고 있는 다운로드 런쳐(Download Launcher) 파일입니다.

다운로드된 파일을 실행하면 그림과 같은 다운로드 창이 생성되며, 하단의 "프로그램 다운 리스트"에는 다수의 수익성 프로그램이 등록되어 있는 것을 확인할 수 있습니다.

 

여기에서 주목할 점은 이런 류의 다운로드 런쳐 프로그램은 사용자가 다운로드(전송) 버튼을 클릭할 경우, 최초 사용자가 원하는 mp3 파일 변환 프로그램의 설치 파일이 다운로드됨과 동시에 숨어있는 추가적인 수익성 프로그램들이 다수 함께 설치가 이루어집니다.

 

그런데 일부 사용자의 경우 편의상 인터넷 상에서 파일을 다운로드하는 폴더 위치를 바탕 화면으로 지정하여 사용할 경우, 해당 다운로드 런쳐 프로그램이 지정한 기본 저장 위치와 일치하게 됩니다.

이로 인하여 사용자가 수익성 프로그램의 체크를 모두 체크 해제한 후 mp3 변환 프로그램을 다운로드할 경우, 원래 블로그에서 다운로드하여 바탕 화면에 저장된 다운로드 런쳐 파일(mp3_converter.exe)파일과 사용자가 다운로드하는 mp3 변환 프로그램 설치 파일(mp3_converter.exe)의 파일명이 동일하여 다운로드가 이루어지지 않고 반복적으로 다운로드 창이 재생성되는 특이한 동작을 경험할 수 있습니다.

 

이런 문제는 배포자가 의도적으로 구현한 것인지는 알 수 없지만, 결국 반복적으로 생성되는 다운로드 창으로 인하여 사용자가 수익성 프로그램의 체크 해제를 잊고 다운로드 창을 클릭할 경우 원치 않는 다수의 프로그램들이 설치될 수 있습니다.

 

근본적으로 이런 부분은 블로그 첨부 파일 또는 링크(URL)를 통해 제공하는 파일을 다운로드하는 행위를 하지 않는 것이 가장 중요하며, 대부분의 다운로드 런쳐 프로그램은 사용자의 실수 유발을 통해 다수의 수익성 프로그램을 설치하도록 유도하므로 속지 않도록 주의하시기 바랍니다.

 

이번 사례에서 살펴본 다운로드 런쳐 프로그램을 통해 설치될 수 있는 제휴(스폰서) 프로그램은 다음과 같습니다.

 

(1) 다운로드 컨트롤러 업데이트 : Windows FileNolja Update

  • h**p://file.****nolja.com/****/AU.exe (MD5 : a97ccc7aaa343ad13cec5b54d1246244) - AVG : Downloader.Generic13.LFV (VirusTotal : 19/44)
[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\filenolja
C:\Program Files\filenolja\unins000.dat
C:\Program Files\filenolja\unins000.exe
C:\Program Files\filenolja\Upgrade.exe

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - FileNolja = "C:\Program Files\filenolja\Upgrade.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
자동 업데이트_is1

 

해당 프로그램은 설치 파일을 통해 AUSetup.exe (MD5 : ce9199341889da0bfd151878c0d821a4) 파일을 다운로드하여 "C:\Program Files\filenolja" 폴더에 파일을 생성하며, Windows 시작시 Upgrade.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일은 특정 업데이트 서버에 사용자 Mac Address 값을 기반으로 한 버전 체크를 하도록 구성되어 있습니다.

 

(2) 검색 도우미 : KCW Ad Matching (2012.4.15)

  • h**p://file.****nolja.com/****/adInstall_ad26.exe (MD5 : bae18dbc8add0148fd5acab6ab741e53) - nProtect : Adware/W32.KrAdword.628912 (VirusTotal : 24/44)

해당 프로그램은 인터넷 검색시 광고창을 생성하는 검색 도우미 프로그램입니다.

 

(3) 검색 도우미 : Addendum-nm - addendum_sb (2012.10.30)

  • h**p://file.****nolja.com/****/WHelp_WH25.exe (MD5 : d428166924d46df826f33ccb7ba71125) - nProtect : Adware/W32.KrAdword.135319 (VirusTotal : 21/44)

해당 프로그램은 웹 브라우저 좌측에 사이드바 광고를 생성하는 검색 도우미 프로그램입니다.

 

(4) <Right Security Blog> 무료 개인정보 유출 진단 인포스캔(InfoScan)에 포함된 OpenPot 광고 파일 (2012.6.21)

  • h**p://dn.info****.co.kr/**/down/infoscan/binst/InfoBInst_INFO0390001.exe (MD5 : 9fa8870c5b4facc6d97db4eab0cce7a9)

해당 프로그램은 개인정보 관련 정보 진단 기능과 프로그램에 포함된 광고 기능을 이용하여 광고창을 생성하는 프로그램입니다.

 

(5) 제휴(스폰서) 프로그램 : Xecure speller Application (2012.9.5)

  • h**p://file.****nolja.com/****/speller.exe (MD5 : 77afeb8613b3b1084654c733bf6fdadc) - Hauri ViRobot : Adware.Speller.483096.A (VirusTotal : 9/44)

해당 프로그램은 복사 해제 기능 및 시스템 시작시 업데이트 창을 생성하여 추가적인 수익성 프로그램 설치를 유도하는 프로그램입니다.