2012년 12월 19일에 치러진 제18대 대통령 선거의 투표율을 높이기 위해 미수다 출신의 라리사가 투표율 75%를 넘을 경우 알몸으로 말춤을 추겠다고 공약을 걸었다고 합니다.
그런데 이번 대통령 선거에서 투표율이 75.8%가 나오면서 라리사는 몇 명의 사람들과 실제로 말춤을 춘 사진이 공개되면서 화제가 되고 있는데, 이런 "라리사 알몸 말춤" 이슈를 이용하여 영상을 볼 수 있다는 파일이 배포되고 있는 것을 확인하였습니다.
해당 파일의 배포 방식과 실제 실행되면 어떤 동작이 이루어지는지 자세하게 살펴보도록 하겠으며, 소개하는 내용 이외에도 유사한 방식으로 유포가 이루어지고 있으므로 주의하시기 바랍니다.
인터넷 검색을 통해 특정 네이버(Naver) 블로그에 접속하면 "라리사 알몸 말춤 공약 풀영상"을 볼 수 있다는 내용과 함께 저작권 문제로 원본은 특정 네이버(Naver) 카페에서 자동 재생된다고 접속 유도를 하고 있습니다.
링크를 통해 네이버(Naver) 카페에 접속하면 공개된 사진을 클릭하면 영상이 자동 재생된다고 언급하고 있지만, 실제로는 특정 서버에서 "라리사_알몸말춤_풀영상.exe" 파일(MD5 : 759c8f686d3c2e149f743704371ec3b2)을 다운로드 하도록 되어 있습니다.
다운로드된 파일은 동영상 파일과 같은 아이콘 모양을 하고 있으며, "Fileocean 1.00 Installation"이라는 속성값을 가지고 있습니다.
사용자가 해당 파일을 실행할 경우 어떠한 설치 정보를 제공하지 않으면서 다음과 같은 프로그램이 설치됩니다.
C:\Program Files\Fileocean
C:\Program Files\Fileocean\fileoceandn.exe :: 시작 프로그램 등록 파일
C:\Program Files\Fileocean\oceanfiledn.exe :: 파일오션 자료실 다운로드 창 실행 파일
C:\Program Files\Fileocean\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Fileocean\Uninstall.ini
C:\WINDOWS\system32\COMDLG32.OCX
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL
사용자 몰래 설치된 프로그램은 "C:\Program Files\Fileocean" 폴더에 파일을 생성하며, Windows 시작시 fileoceandn.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
파일 실행을 통해 프로그램 설치와 동시에 "파일오션 자료실 다운로드" 창이 생성되며, 라리사 알몸 말춤 풀영상을 다운로드할 수 있다고 파일 전송 버튼을 클릭하도록 유도하고 있습니다.
해당 다운로드 창에서는 "프로그램 다운로드" 영역에 3개의 수익성 프로그램 목록이 제시되어 있으며, 사용자가 해당 체크를 해제하지 않은 상태에서 파일 전송 버튼을 클릭할 경우 자동으로 설치가 이루어집니다.
해당 프로그램 다운로드 목록에는 하나의 꼼수가 포함되어 있는데, 일반적으로 위와 유사한 다운로드 창의 경우 제시되는 수익성 프로그램 목록은 최상위 부분을 노출하는 반면 이번 다운로드 창은 맨 하단 부분을 노출하고 있습니다.
이는 사용자가 스크롤을 내렸을 경우에는 더 이상 추가된 프로그램이 없다고 인식하게 하여, "Easypop, TopScan, Vaccine" 항목만 체크 해제를 하는 사용자가 있을 수 있습니다.
하지만 스크롤을 위로 올렸을 때에는 추가적으로 "Winsearch, ShopTopBar"와 같은 숨겨진 수익성 프로그램이 존재하므로, 스크롤을 위아래로 함께 체크하는 습관이 필요하겠습니다.
그렇다면 실제 해당 다운로드 창을 통해 영상을 제공하는지 확인을 해보면 사용자가 전송 버튼을 클릭하면 유튜브(YouTube)에 등록된 "교수와 여제자 3 : 나타샤의 귀환" 홍보 영상으로 연결되는 것을 확인할 수 있습니다.
그러므로 파일 자체가 가짜 라리사 알몸 말춤 영상을 이용하여 수익성 프로그램을 설치할 목적으로 배포가 이루어지고 있다고 평가할 수 있습니다.
이렇게 설치된 Fileocean 프로그램은 시스템 재부팅 과정에서는 다운로드 창이 재실행되지는 않지만, 시작 프로그램으로 등록된 fileoceandn.exe 파일을 통해 차후 특정 시점에서 재생성되어 서버에 등록된 다수의 수익성 프로그램을 설치 유도할 수 있으므로 주의하시기 바랍니다.
프로그램 삭제는 제어판의 "Fileocean" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.
- C:\Program Files\Fileocean
- C:\Program Files\Fileocean\fileoceandn.exe
HKEY_CURRENT_USER\Software\fileocean
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- fileoceancc = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- FileOcean = C:\Program Files\Fileocean\fileoceandn.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Fileocean
해당 프로그램은 인터넷 사용자들이 많이 찾는 자극적인 이슈를 이용한 사회 공학적 기법으로 유포가 이루어지고 있으며, 인터넷 상에서 동영상을 위해 파일 다운로드 및 실행을 하도록 할 경우에는 위험에 노출될 가능성이 높아지므로 각별히 주의하시기 바랍니다.
참고로 "파일오션 자료실 다운로드" 창을 통해 추가적으로 설치가 가능성 수익성 프로그램에 대한 간단한 정보는 다음과 같습니다.
(1) Winsearch 프로그램
- h**p://down.****world.co.kr/file/winsearchinst.exe (MD5 : 8d3ce267f87b54e2f64afff683bc5499) - Hauri ViRobot : Adware.Winsearchocn.921480.A (VirusTotal : 23/46)
해당 프로그램은 기존의 "Winsearch 1.00 - smwinsearch" 검색 도우미 프로그램의 변형된 형태로 추정되며, "C:\Program Files\Winsearchocn" 폴더에 파일을 생성하는 것으로 확인되고 있습니다.(※ 차후 추가적인 정보를 공개할 예정입니다.)
(2) ShopTopBar 1.00 프로그램
- h**p://down.****world.co.kr/file/shoptopbarinst.exe (MD5 : 03f3b68890bf1c71acc26ae0b1e39c4f) - AhnLab V3 : PUP/Win32.ShopTopBar (VirusTotal : 12/46)
해당 프로그램은 기존의 "국내 악성코드 : Shoptopbar 1.00 + Cleversearchoc 1.00 (2012.9.17)" 검색 도우미 프로그램과 유사하므로 참고하시기 바랍니다.
(3) 검색 도우미 : 이지팝(EasyPop) (2012.6.17)
- h**p://www.**eople.co.kr/spon/install_EasyPop_iconmania1.exe (MD5 : 669f1cc9798b957b83fd6d2bed72924e) - Hauri ViRobot : Adware.EasyPop.247992.A (VirusTotal : 14/46)
(4) PC 최적화 프로그램 : 탑스캔(TopScan) (2012.11.23)
- h**p://update.***scan.co.kr/set/topscansetup_hot.exe (MD5 : 3c2a2000a26492db3a5ed74de5dc9e10) - Hauri ViRobot : Adware.Topscan.238240 (VirusTotal : 29/46)
(5) 악성코드 제거 프로그램 : 백신헬퍼(VaccineHelper) (2012.9.14)
- h**p://update.***cine***per.co.kr/setupa/vaccinehelpersetup_hot.exe (MD5 : 8af6f9df563e4831442a4456202378e7) - Hauri ViRobot : Adware.VaccineHelper.200280 (VirusTotal : 36/46)
해당 수익성 프로그램 정보는 차후 변경될 수 있으며, 해당 프로그램 중에는 또 다른 프로그램을 설치할 가능성이 있으므로 주의하시기 바랍니다.