포털 사이트의 특정 검색 키워드 값으로 노출되는 웹 문서 검색 결과를 이용하여 파일 다운로드를 통해 수익성 프로그램 설치 및 웹하드 회원 가입을 유도하는 "Windows FileTap Download Controller" 프로그램 배포에 대해 살펴보도록 하겠습니다.
네이버(Naver) 검색을 통해 특정 검색 키워드로 검색을 할 경우 웹 문서에 노출되는 검색 결과에 접속해 보도록 하겠습니다.
접속된 웹 사이트는 전형적인 웹하드 홍보 페이지처럼 구성되어 있지만, 접속자가 다운로드 관련 버튼을 클릭할 경우 특정 서버로부터 "악성코드치료.exe" 파일을 다운로드하도록 제작되어 있습니다.
파일로드된 "악성코드치료.exe" 파일(MD5 : 213e6cee29e645ee2b7c62f40b4be189)에는 GMT 디지털 서명이 포함되어 있으며, 2012년 11월 1일경부터 최초 보고가 이루어진 파일입니다.
▷ "라리사 말춤 원본 동영상"을 이용한 Windows UtilWorld Download Controller 설치 주의 (2012.12.22)
참고로 GMT 디지털 서명은 최근에 확인된 라리사 말춤 원본 동영상 관련 이슈에 이용된 파일로 다양한 배포 방식으로 설치를 유도하는 것을 알 수 있습니다.
사용자가 다운로드된 "악성코드치료.exe" 파일을 실행하면 "C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\Filetap_DownloadControl.exe" 파일(= 악성코드치료.exe / MD5 : b3a3f4398818f4c712a853f3fb786d46) 생성을 통해 다음과 같은 다운로드 창을 생성합니다.
생성된 "FileTap DownloadControl" 창은 FileTap 다운로더 관련 프로그램(필수)과 권장 프로그램(선택)의 설치를 유도하며, 사용자가 전송 버튼을 클릭할 경우 "악성코드치료" 파일이 다운로드된다고 안내하고 있습니다.(※ 실제 다운로드를 시도하면 "악성코드치료" 관련 파일은 전혀 다운로드가 되지 않습니다.)
우선 사용자가 원치 않는 다운로드 창을 종료할 경우에는 특정 웹 사이트로 자동 연결하여 "회원 가입 후 무료 다운로드 받으세요."라는 메시지 창을 생성합니다.
그리고 최종적으로 연결되는 경로를 확인해보면 네이버(Naver) 단축 URL 서비스(me2.do)를 경유하여 추천인 아이디(ID)가 포함된 랜덤(Random)한 웹하드에 접속하여 수익을 창출하고 있습니다.
만약 사용자가 권장 프로그램(선택)의 체크 박스를 모두 해제하고 전송 버튼을 클릭한 경우에는 특정 서버로부터 FileTap 관련 프로그램(필수)의 설치 파일(Filetap_UDControl_install.exe)을 다운로드하는 동작을 확인할 수 있습니다.
다운로드된 Filetap_UDControl_install.exe 파일(MD5 : 17c037c71177263c58a80cedaa42d91e)은 "C:\Documents and Settings\(사용자 계정)\Templates\Filetap_UDControl_install.exe" 위치에 생성되어 백그라운드 방식으로 다음의 프로그램을 설치합니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\악성코드치료.exe
C:\Program Files\FileTapCtrl
C:\Program Files\FileTapCtrl\Filetap_UDControl.exe :: 시작 프로그램 등록 파일
C:\Program Files\FileTapCtrl\uninstall.exe :: 프로그램 삭제 파일
설치된 "Windows FileTap Download Controller" 프로그램은 "C:\Program Files\FileTapCtrl" 폴더에 파일을 생성하며, Windows 시작시 Filetap_UDControl.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
이를 통해 시스템 시작시 "FileTap UpdateControl" 이라는 업데이트 창을 생성하여 FileTap 업데이트 관련 프로그램(필수)과 권장 프로그램(선택)의 설치를 유도합니다.(※ 해당 업데이트 창 내용은 "FileTap DownloadControl" 창과 동일합니다.)
우선 FileTap 관련 프로그램의 삭제를 위해서는 제어판의 "Windows FileTap Download Controller" 삭제 항목을 이용하여 프로그램을 삭제할 수 있으며, 프로그램 삭제 후에는 "C:\Program Files\FileTapCtrl" 폴더를 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- FileTap_UDControl = C:\Program Files\FileTapCtrl\Filetap_UDControl.exe
HKEY_CURRENT_USER\Software\filetap2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Filetap_UDControl uninstall
이제 FileTap 다운로드 또는 업데이트 창을 통해 추가적으로 설치될 수 있는 권장 프로그램에 대해 간단하게 살펴보도록 하겠습니다.
(1) Wizeni 프로그램
- h**p://ga**han***.co.kr/data/sp/inst_run_wizeni27.exe (MD5 : d0da7eb83683414ba9a43045551b518c) - AhnLab V3 : Trojan/Win32.ADH (VirusTotal : 17/46)
해당 프로그램의 설치 파일은 "C:\Documents and Settings\(사용자 계정)\Templates\inst_run_wizeni27.exe" 위치에 생성되어 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Wizeni" 폴더에 관련 파일을 생성할 수 있습니다.
테스트 당시에는 프로그램이 정상적으로 설치되지 않고 있으며, 설치시 인터넷 이용 중 광고 콘텐츠를 노출할 것으로 추정됩니다.
(2) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)
- h**p://www.file***.com/ad/setup/exad023.exe (MD5 : de43e0dd7b73482b4085bb354157fd90)
해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Templates\exad023.exe" 위치에 생성되어, "C:\Program Files\FileHam.com" 폴더에 관련 파일을 생성하여 특정 웹하드 홍보를 합니다.
(3) 악성코드 제거 프로그램 : 백신헬퍼(VaccineHelper) (2012.9.14)
- h**p://update.***cine***per.co.kr/setupa/vaccinehelpersetup_tap.exe (MD5 : fc7f79bddc6f395034e78c5fd6553b32) - AhnLab V3 : PUP/Win32.VaccineHelper (VirusTotal : 35/44)
해당 프로그램(VaccineHelper + winupdatedepend)은 "C:\Documents and Settings\(사용자 계정)\Templates\vaccinehelpersetup_tap.exe" 위치에 생성되어, "C:\Program Files\vaccinehelper" 폴더에 관련 파일을 생성하여 악성코드 검사를 통한 유료 결제를 유도합니다.
이번 사례와 같이 사용자가 전송 버튼을 실수로 클릭할 경우 자신도 모르게 설치된 프로그램이 지속적인 업데이트 창 생성을 통한 수익성 프로그램 설치 유도 행위가 발생할 수 있으므로 주의하시기 바랍니다.