최근 대통령 선거 투표율 공약 이행을 한 "라리사 알몸 말춤" 이슈를 이용하여 국내 광고 유포 조직이 사용자의 실수를 유발하여 다양한 수익성 프로그램을 설치하는 활동을 소개해 드렸습니다.
▷ 가짜 "라리사 알몸 말춤" 영상을 이용한 Fileocean 유포 주의 (2012.12.21)
소개한 Fileocean 프로그램 이외에 동일 조직이 다른 형태로 설치를 유도하는 부분을 확인하여 추가적인 정보를 공개해 드리겠습니다.
배포 방식은 인터넷 검색을 통해 유튜브(YouTube) 특정 페이지에 접속하면 "라리사 말춤 원본 동영상"이라는 1분 5초 분량의 동영상을 공개하고 있습니다.
하지만 해당 영상은 그림의 사진만을 1분짜리 동영상으로 만든 것이며, 실제로는 하단의 네이버(Naver) 특정 카페에 "라리사 말춤 원본 좌표"를 표시하는 방식으로 접속을 유도하고 있습니다.
접속한 네이버(Naver) 카페에서는 이전과 마찬가지로 동영상 콘텐츠를 클릭할 경우 특정 서버로부터 "라리사_알몸말춤_HD영상.exe" 파일을 다운로드하도록 구성되어 있습니다.
다운로드된 파일은 GMT로 서명된 디지털 인증서가 포함되어 있는 것이 특징이며, 해당 파일(MD5 : 5efe5360c00016ffbbd67ec30c455857)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.MulDown (VirusTotal : 6/46) 진단명으로 진단되고 있습니다.
사용자가 파일을 실행하면 "C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\DownloadControl.exe" 파일을 생성 및 실행하여 다음과 같은 다운로드 창을 생성합니다.
생성된 "DownloadControl" 창에서는 "전송시작 버튼을 클릭하시면 해당 컨텐츠를 확인할 수 있습니다."라는 메시지를 생성하여 "라리사알몸말춤영상" 파일을 다운로드하게 유도합니다.
해당 다운로드 창에는 UtilWorld 다운로더 프로그램(필수)과 권장 프로그램(선택)이 포함되어 있으며, 사용자가 권장 프로그램(선택)의 체크 박스를 모두 해제한 상태에서 다운로드를 진행하여도 UtilWorld 다운로더 프로그램(Windows UtilWorld Download Controller)이 자동으로 설치됩니다.
또한 사용자가 다운로드를 하지 않고 우측 상단의 "닫기(X)" 버튼을 클릭할 경우에는 "프로그램 업데이트 후 종료합니다."라는 메시지를 생성하여 사용자가 "예(Y)"를 클릭할 경우 자동으로 프로그램이 설치되므로 주의하시기 바랍니다.
만약 사용자가 전송 버튼을 클릭하여 말춤 동영상을 다운로드 시도할 경우에는 DownloadControl.exe 파일이 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\라리사_알몸말춤_HD영상.exe" 파일(Windows UtilWorld Download Controller)로 변경되어 다음과 같은 웹 페이지로 자동 연결됩니다.
해당 유튜브(YouTube) 페이지 동영상은 스포츠서울에서 단독 인터뷰로 제작한 "알몸 연극 출연 라리사 당당하게 벗겠다"이며 사람들이 찾는 "라리사 말춤 원본 동영상"이 아닙니다.(※ 원본 동영상은 인터넷 상에 존재하지 않습니다.)
우선 권장 프로그램(선택)을 제외한 필수적으로 설치될 수 있는 UtilWorld 다운로더 프로그램(Windows UtilWorld Download Controller)에 대해 살펴보도록 하겠습니다.
UtilWorld 필수 프로그램은 특정 서버로부터 설치 파일(UDControl_05_install.exe)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Templates\UDControl_05_install.exe" 파일로 생성하여 프로그램을 설치합니다.
참고로 해당 파일(MD5 : b928050310e89982c1e7daae078d69f4)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.UtilWorld.338856 (VirusTotal : 5/46) 진단명으로 진단되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\라리사_알몸말춤_HD영상.exe
C:\Program Files\UtilWorld
C:\Program Files\UtilWorld\UDControl.exe :: 시작 프로그램 등록 파일
C:\Program Files\UtilWorld\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\라리사_알몸말춤_HD영상.exe
- MD5 : a8c4306bdfee5945eb9ddeaf8666510d
- AhnLab V3 : PUP/Win32.Downloader (VirusTotal : 2/46)
C:\Program Files\UtilWorld\UDControl.exe
- MD5 : 712d85ab5090d32624361d1d7836684e
- AhnLab V3 : PUP/Win32.Downloader (VirusTotal : 3/46)
"Windows UtilWorld Download Controller" 프로그램은 "C:\Program Files\UtilWorld" 폴더에 파일을 생성하며, Windows 시작시 UDControl.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 UDControl.exe 파일은 "UpdateControl" 창을 추가적으로 생성하여 UtilWorld 필수 업데이트와 권장 프로그램(선택)의 설치를 유도하고 있습니다.
만약 사용자가 우측 상단의 "닫기(X)" 버튼을 클릭할 경우 "프로그램 업데이트 후 종료합니다."라는 메시지를 생성하여 사용자가 "예(Y)" 버튼을 클릭할 경우 자동으로 등록된 프로그램들이 설치될 수 있으므로 주의하시기 바랍니다.
■ <Right Security Blog> 제휴(스폰서) 프로그램 : MicroPCRecord (2012.1.26)
- h**p://down.****cord.co.kr/files/newdigital/MicroPCRecordSilent.exe (MD5 : 9f457982919037bb2589e1e644d0cc7a) - Hauri ViRobot : Adware.MicroPCRecord.1942664 (VirusTotal : 6/42)
참고로 권장 프로그램으로 설치 유도되는 프로그램은 녹음기 프로그램이지만, 업데이트 기능을 통해 또 다른 다수의 수익성 프로그램을 설치 유도하는 동작이 포함되어 있는 것으로 알려져 있습니다.
그러므로 프로그램이 설치된 사용자는 제어판의 "MicroPCRecord" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.
또한 시스템 시작시 "UpdateControl" 다운로드 창이 생성되지 않도록 하기 위해서는 제어판의 "Windows UtilWorld Download Controller" 삭제 항목을 이용하여 UtilWorld 다운로더 프로그램을 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- UtilWorld_UDControl = C:\Program Files\UtilWorld\UDControl.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UDControl uninstall
이제 라리사_알몸말춤_HD영상.exe 파일을 통해 생성된 "DownloadControl" 창을 통해 설치될 수 있는 권장 프로그램(권장)에 대해 간단하게 살펴보도록 하겠습니다.
(1) Winsearch 프로그램
- h**p://down.ut****rld.co.kr/file/winsearchinst.exe (MD5 : 8d3ce267f87b54e2f64afff683bc5499) - AhnLab V3 : PUP/Win32.Winsearch (VirusTotal : 23/46)
해당 프로그램은 "C:\Program Files\Winsearchocn" 폴더에 파일을 생성하며, 기존의 "Winsearch 1.00 - smwinsearch" 검색 도우미 프로그램의 변형된 버전으로 추정됩니다.
(2) 검색 도우미 : TabChoice (2012.12.10)
- h**p://down.enter***.co.kr/download/tabchoiceSetup7_s.exe (MD5 : 37feaf67f0394279e7a719a8d33463f1) - Hauri ViRobot : Adware.TabChoice.43933 (VirusTotal : 20/46)
(3) 악성코드 제거 프로그램 : 백신헬퍼(VaccineHelper) (2012.9.14)
- h**p://update.***cine***per.co.kr/setupa/vaccinehelpersetup_hot.exe (MD5 : 8af6f9df563e4831442a4456202378e7) - AhnLab V3 : PUP/Win32.VaccineHelper (VirusTotal : 36/46)
(4) 검색 도우미 : 이지팝(EasyPop) (2012.6.17)
- h**p://www.**eople.co.kr/spon/install_EasyPop_iconmania1.exe (MD5 : 669f1cc9798b957b83fd6d2bed72924e) - AhnLab V3 : Win-PUP/Helper.EasyPop.247992.B (VirusTotal : 14/46)
(5) PC 최적화 프로그램 : 탑스캔(TopScan) (2012.11.23)
- h**p://update.***scan.co.kr/set/topscansetup_hot.exe (MD5 : 3c2a2000a26492db3a5ed74de5dc9e10) - Hauri ViRobot : Adware.Topscan.238240 (VirusTotal : 29/46)
(6) ShopTopBar 1.00 프로그램
- h**p://down.ut****rld.co.kr/file/shoptopbarinst.exe (MD5 : 03f3b68890bf1c71acc26ae0b1e39c4f) - AhnLab V3 : PUP/Win32.ShopTopBar (VirusTotal : 13/46)
해당 프로그램은 기존의 "Shoptopbar 1.00 + Cleversearchoc 1.00" 검색 도우미 프로그램과 유사하므로 참고하시기 바랍니다.
이들 프로그램은 제어판의 "EasyPop", "resetuserwindowinfo", "shoptopbar 1.00", "tabchoice", "topscan", "vaccinehelper", "Winsearch", "winupdatedepend" 삭제 항목을 이용하여 삭제할 수 있습니다.
결론적으로 이번 "라리사 알몸 말춤" 이슈는 인터넷 상에서는 존재하지 않는 동영상 파일을 이용하여 사용자 PC에 다수의 수익성 프로그램을 설치하여 금전적 이득을 노리고 있으며, 설치된 프로그램 중에서는 추가적인 다운로드를 통해 지속적인 프로그램 설치 통로로 이용된다는 점에서 매우 주의하시기 바랍니다.
또한 해당 유포 조직은 2012년 11월 초부터 동일한 파일을 사회적 이슈와 연관시켜 동영상을 볼 수 있는 것처럼 홍보하여 설치를 유도한 것으로 추정되므로 인터넷 상에서 동영상 감상을 위한 실행 파일 다운로드 행위는 하지 않도록 주의하시기 바랍니다.