울지않는벌새 : Security, Movie & Society

가짜 Daum PotPlayer 파일을 이용한 수익성 프로그램 설치 유도 주의 (2012.11.29)

벌새::Analysis

최근 포털 사이트 검색을 통해 노출이 이루어지고 있는 특정 자료실에 등록된 Daum PotPlayer 파일을 이용하여 다수의 수익성 프로그램을 설치 유도하는 행위가 확인되고 있습니다.

 

특히 해당 파일은 최종적으로 Daum PotPlayer 설치 파일을 제공하지 않는 것으로 확인되므로 더욱 주의할 필요가 있기에 관련 정보를 살펴보도록 하겠습니다.

국내 포털 사이트를 통해 Daum PotPlayer 관련 검색을 할 경우 위와 같은 공개 자료실 방식의 웹 사이트로 접속할 수 있습니다.

 

해당 사이트에서는 카페24(Cafe24) 웹 호스팅 서비스에 등록된 도메인을 이용하고 있으며, 화면에서는 "다음팟플레이어.zip" 파일을 다운로드할 수 있는 버튼이 존재합니다.

해당 다운로드 버튼을 클릭할 경우 or.kr 도메인으로 등록된 특정 공개 자료실 서버에서 "PotPlayerSetup1.exe" 파일을 다운로드하며, 다운로드된 파일은 폴더 아이콘 모양을 하고 있습니다.

 

참고로 다운로드된 해당 파일(MD5 : 819b854e2ef2c2cb711f81b003937bd0)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.620432 (VirusTotal : 8/43) 진단명으로 진단되고 있습니다.

해당 파일에는 인증서의 발급자를 찾을 수 없는 문제로 유효하지 않은 ArthanSoft 디지털 서명이 포함되어 있는 것이 특징입니다.

사용자가 다운로드된 폴더 모양의 PotPlayerSetup1.exe 파일을 실행하면 그림과 같은 파일 다운로드 창이 생성되며, 하단의 "프로그램 추가 설치 안내"에는 다수의 수익성 프로그램이 등록되어 있습니다.

 

해당 수익성 프로그램은 일괄 동의 방식이며 화면의 협소한 영역에 다수의 이름을 등록하는 과정에서 사용자에게 어떤 프로그램을 설치하는지 제대로 정보를 공개하지 않고 있습니다.

 

또한 이용약관 버튼을 클릭해서 살펴보면 실제 설치가 되는 다수의 수익성 프로그램 중 일부는 이용약관이 누락되어 있는 점도 확인할 수 있습니다.

참고로 사용자가 수익성 프로그램 설치와 관련된 체크를 해제하지 않은 상태로 파일 다운로드를 진행할 경우 10종의 수익성 프로그램이 백그라운드 방식으로 자동 설치되는 것으로 파악되고 있습니다.

  • h**p://www.ch****ng.or.kr/files/PotPlayerSetup1.exe (MD5 : ec7acd16feda596c6060470197cd9360) - AhnLab V3 : Win-PUP/Downloader.MulDown.622656 (VirusTotal : 7/44)

그렇다면 정말 Daum PotPlayer 프로그램을 정상적으로 제공하는지 다운로드를 시도해보면 or.kr 공개 자료실에서 PotPlayerSetup1.exe 파일을 다운로드하는 동작을 확인할 수 있습니다.

내 문서 폴더에 다운로드된 PotPlayerSetup1.exe 파일은 이전과 마찬가지로 폴더 모양의 아이콘을 하고 있으며, "Meta7 Module"이라는 속성값을 가진 파일로 정상적인 Daum PotPlayer 설치 파일이 아닙니다.

다시 한 번 다운로드된 파일을 실행하면 이전과 마찬가지로 PotPlayerSetup1.exe 파일 다운로드 창이 생성되며, 하단에는 다수의 수익성 프로그램이 등록되어 있는 것을 확인할 수 있습니다.

특이한 점은 해당 파일 다운로드 창은 or.kr 공개 자료실이 아닌 co.kr 도메인을 가진 또 다른 유사 공개 자료실로 연결되어 있으며, 11종의 수익성 프로그램을 백그라운드 방식으로 자동 설치할 수 있습니다.

  • h**p://www.fi**dol.co.kr/files/PotPlayerSetup1.exe (MD5 : ec7acd16feda596c6060470197cd9360) - AhnLab V3 : Win-PUP/Downloader.MulDown.622656 (VirusTotal : 7/44)

이번에는 정말 Daum PotPlayer 설치 파일을 제공하는지 확인해보면 co.kr 공개 자료실 서버에서 PotPlayerSetup1.exe 파일을 다운로드하지만, 이전에 다운로드한 파일과 동일한 MD5 값을 가지고 있는 것으로 확인되고 있습니다.

이를 통해 이들 다운로드 과정을 정리해보면 실제 관련 파일들은 2개의 공개 자료실 서버(ch****ng.or.kr / fi**dol.co.kr)에서 PotPlayerSetup1.exe 파일을 다운로드하지만 Daum PotPlayer 설치 파일을 제공하지 않는다고 결론 지을 수 있습니다.

 

그러므로 사용자들은 프로그램 설치를 위해 파일을 다운로드할 경우에는 반드시 공식 홈 페이지 또는 유명 공개 자료실(심파일, 네이버 자료실)을 이용하시기 바랍니다.

 

추가적으로 PotPlayerSetup1.exe 파일을 통해 설치되는 다수의 수익성 프로그램 정보는 다음과 같습니다.

 

(1) 검색 도우미 : 다이렉트키워드(DirectKeyword) - DirectKeyword2 (2011.8.11)

  • h**p://fi**dol.co.kr/appdata/DKSetup21_g1000.exe (MD5 : 7a4f2fcd27df9e409fa303cb23db05a8) - AhnLab V3 : Win-PUP/Helper.DirectKeyword.218720 (VirusTotal : 7/44)

해당 프로그램은 기존 분석 정보와 다르게 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\DirectKeyword2\DirectKeyword2.exe" 폴더 및 파일을 생성하여 광고창을 생성합니다.

 

(2) 검색 도우미 : TabSync (2012.10.22)

  • h**p://wi**go.co.kr/tabsync/TabSyncSetup2.exe (MD5 : 702e8f416ed2d47e66279667e8c223fd) - AhnLab V3 : PUP/Win32.WingGo (VirusTotal : 9/44)

(3) 검색 도우미 : MicroNames Multi Language Convert Service 3.0 + Windows multi Convert Retain (2012.9.16)

  • h**p://www.mi***names.co.kr/download/App/2966/Translation.exe (MD5 : b9b704452680949cdb146746bf9bbe18) - Kaspersky : not-a-virus:AdWare.Win32.Hebogo.ag (VirusTotal : 17/43)

해당 프로그램은 분석 정보와 다르게 제어판에 프로그램 삭제 항목을 등록하지 않는 것으로 확인되고 있으므로 분석 정보를 참고하여 프로그램 삭제 파일을 직접 실행하거나 수동 삭제를 하시기 바랍니다.

 

(4) 검색 도우미 : KCW Ad Matching (2012.4.15)

  • h**p://down.ad*****ing.co.kr/adInstall_ad015.exe (MD5 : c923101b282f0411da8ff394cd224d40) - nProtect : Adware/W32.KrAdword.636048 (VirusTotal : 3/44)

(5) 검색 도우미 : Winskplus (2011.5.8)

  • h**p://down.**plus.kr/setup_skplus02_s.exe (MD5 : 836f449c7f064af90be028d5a8d6e84f) - Hauri ViRobot : Adware.Skplus.322544 (VirusTotal : 14/44)

(6) 제휴(스폰서) 프로그램 : Windows RightClick Copy (2012.4.1)

  • h**p://www.ri*****ick.co.kr/down/RaclSetup_hana009.exe (MD5 : 705b6571d4090931e588dced3c5887ae) - nProtect : Adware/W32.KrAdword.483200 (VirusTotal : 14/42)

(7) 검색 도우미 : Window Service (2012.11.28)

  • h**p://bb***file.com/appdata/noble.exe (MD5 : 8c0da928824e137438cb81b69500f69f)

(8) 검색 도우미 : KeyPang version 1.0 + kpupdate version 1.0 (2011.7.16)

  • h**p://ad**.co.kr/keypang/qzone2/ikeypang.exe (MD5 : 48409838065c192dcdad28ca69c6cf8d) - AhnLab V3 : Win-PUP/Helper.KeyPang.60384 (VirusTotal : 5/44)

(9) 검색 도우미 : Windows clickpang (2012.10.17)

  • h**p://www.cl***pang.co.kr/setup/clickpang_azone.exe (MD5 : 532c8bc98f7fd89004d2a716458208f6) - Hauri ViRobot : Trojan.Win32.A.Downloader.912384.G (VirusTotal : 24/43)

해당 프로그램은 기존 분석 정보에 다르게 제어판에 "windows clickpang package" 삭제 항목으로 등록되어 있으므로 참고하시기 바랍니다.

 

(10) 검색 도우미 : Windows topsearch ad-System [topsearch] (2012.10.31)

  • h**p://fi**dol.co.kr/appdata/topsearch_channel12.exe (MD5 : f39340d38d53d71368766c59b8dff297) - Hauri ViRobot : Trojan.Win32.A.Downloader.915856.V (VirusTotal : 30/44)

(11) 검색 도우미 : SocureWeb Control (2012.11.28)

  • h**p://fi**dol.co.kr/appdata/TC2_Channel120.exe (MD5 : 248165c1e9db03b11571ec9f49e140c2) - nProtect : Trojan/W32.Agent.657992 (VirusTotal : 26/44)

이들 수익성 프로그램이 설치된 사용자의 경우에는 최초 11종의 프로그램이 설치되어 있지만, 이로 인하여 시간이 경과하면 추가적인 업데이트 등을 통해 더 많은 프로그램들의 설치 유도 행위가 이루어질 수 있으므로 주의하시기 바랍니다.