국내에서 제작된 시스템 최적화 프로그램으로 유명하던 "이지클린(ezClean)" 프로그램이 2010년 11월 마지막 업데이트를 한 후 서비스가 종료된 것으로 알고 있습니다.
현재 이지클린(ezClean) 공식 홈 페이지(forusersoft.com)로 사용하던 도메인에 접속을 할 경우 서비스 기간이 만료된 상태임을 확인할 수 있습니다.
그런데 구글(Google) 검색을 통해 이지클린(ezClean)을 찾아보면 공식 사이트 이외에 새로운 이지클린(ezClean) 사이트(forusersoft.co.kr)를 확인할 수 있습니다.
해당 사이트에 접속하면 티스토리(Tistory) 블로그에 개인 도메인 서비스를 이용하여 이지클린(ezClean) 공식 블로그처럼 구성되어 있는 것을 확인할 수 있습니다.
해당 도메인에 대해 확인을 해보면 "forusersoft.co.kr / forusersoft.net" 2개의 도메인이 2011년 초에 동일한 곳에서 등록한 것으로 확인되고 있습니다.
그렇다면 서비스가 끝난 이지클린(ezClean) 프로그램을 왜 새로운 유사 도메인으로 생성하여 첨부 파일 다운로드를 유도하고 있는지 살펴보도록 하겠습니다.
원래 이지클린(ezClean) 공식 사이트에서 제공하던 설치 파일은 그림과 같은 아이콘과 속성값을 가지고 있었습니다.
하지만 유사 블로그에 등록된 이지클린(ezClean) 첨부 파일은 "DownloadControl" 파일 이름을 가지는 다른 형태임을 확인할 수 있습니다.(※ 해당 게시글은 2011년 4월 15일 작성되어 있으며, 첨부 파일은 그 이후에 수정되어 2012년 3월 20일에 마지막으로 업로드 되었습니다.)
▷ "라리사 말춤 원본 동영상"을 이용한 Windows UtilWorld Download Controller 설치 주의 (2012.12.22)
▷ 웹 문서 검색 노출을 이용한 Windows FileTap Download Controller 설치 주의 (2012.12.27)
기존에 "DownloadControl" 파일 이름을 가진 파일을 통해 수익성 프로그램을 설치하도록 유도하는 사례를 소개한 적이 있으므로 참고하시기 바랍니다.
첨부 파일(MD5 : 4c17023b0f4caa76a3a67951f0028eb6)의 사용자를 확인해보면 안랩 클라우드(AhnLab Cloud) 기준으로 37,099대에서 다운로드가 이루어졌으며, AhnLab V3 보안 제품에서는 Win-PUP/Downloader.FileJo.779569 (VirusTotal : 2/46) 진단명으로 진단되고 있습니다.
블로그에서 다운로드한 파일을 실행해보면 전형적인 수익성 프로그램 배포 목적으로 제작된 다운로더(Downloader) 창이 생성되며, 현재에는 존재하는 않는 제휴(스폰서) 프로그램이 등록될 공간이 있는 것을 알 수 있습니다.
과거에는 해당 좁은 영역에 다수의 수익성 프로그램이 등록되어 사용자가 해당 체크 박스를 해제하지 않은 상태로 다운로드를 진행하면 백그라운드 방식으로 다수의 프로그램들이 사용자 몰래 설치되는 구조입니다.
또한 이지클린(ezClean)은 "forusersoft.net" 서버를 통해 설치 파일을 다운로드하며, 사용자가 파일을 실행할 경우 설치 단계로 연결이 이루어지도록 되어 있습니다.
실제 수익성 프로그램은 어떤 것들이 설치될 수 있었는지 확인을 해보면 2012년 3월 ~ 2013년 1월경까지 총 6종의 수익성 프로그램(수익성 프로그램 배포 목적의 프로그램, 검색 도우미 2종, WingGo 툴바, 악성코드 제거 프로그램, 웹하드 바로가기 아이콘)이 등록되어 설치가 이루어졌을 수 있었던 것으로 보입니다.(※ 해당 프로그램에 대한 추가적인 정보는 차후에 블로그를 통해 소개해 드리겠습니다.)
그러므로 서비스가 종료된 프로그램을 이용한 이같은 배포 방식에 속지 않기 위해서는 심파일(SimFile), 앳파일(AtFile)과 같은 검증된 공개 자료실에서 파일을 이용하시기 바라며, 파일 다운로드 및 설치시에는 추가적으로 설치되는 부분이 존재한지 꼼꼼하게 살피시기 바랍니다.(※ 개인적으로 서비스가 종료된 프로그램은 더 이상 사용하지 않는 것이 좋습니다.)