본문 바로가기

벌새::Analysis

웹하드 회원 가입 유도를 위한 XOR 주소 이용 사례 (2013.3.6)

반응형

정확한 기억은 나지 않지만 작년(2012년)경부터 블로그 첨부 파일을 통해 다운로드한 실행 파일을 통해 웹하드 회원 가입 사이트로 납치가 이루어지는 과정에서 암호화된 URL 주소를 이용하는 부분이 있었습니다.

 

과거에는 단순히 다운로드를 위한 링크를 제시하여 몇 단계를 거쳐 회원 가입 페이지로 연결을 시도하였던 것과는 다르게, 다운로드한 파일을 실행하지 않고서는 어떤 사이트로 연결되는지 알 수 없게 했다는 점이 특징입니다.

대표적인 홍보 블로그를 보면 "어렵게 구한 자료들입니다."라는 문구를 포함하여 첨부 파일을 다운로드하도록 유도합니다.

다운로드된 RAR 압축 파일 내부에는 실행 파일(.exe), set.ini, 설명서.txt 파일로 구성되어 있으며, 2012년 9월경부터 이용된 것으로 추정됩니다.

설명서.txt

우선 텍스트 문서 파일을 확인해보면 압축 파일 내부에 있는 실행 파일(.exe)을 실행하라고 안내되어 있습니다.

해당 실행 파일 속성값을 우선 살펴보면 중국어(간체, PRC)로 제작되어 있는 것으로 보아, 제작툴이 존재한 것이 아닌가 의심이 됩니다.

또한 실행 파일(.exe) 코드를 확인해보면 압축 파일에 포함된 set.ini 파일을 참조하여 실행되는 것을 확인할 수 있습니다.

set.ini

set.ini 파일을 열어보면 "숫자,숫자,숫자…" 패턴으로 구성되어 포맷을 변환하지 않는 한 무슨 사이트로 연결되는지 알 수 없도록 구성되어 있습니다.

 

이제 set.ini 파일에 포함한 값을 10진수로 변환을 하면 그림과 같은 값으로 출력되는 것을 확인할 수 있습니다.

}aae/::%`oot{r;{pa:r`t{r;}ax*|(!"%8!te~5

변환된 값을 다시 한 번 사이트 연결값으로 변환하기 위해서는 XOR 키값을 찾아서 http:// 패턴으로 변환해 보았습니다.

1차 변환된 값을 이용해 XOR(0x15) 키값을 찾아 변환을 시도하면 최종적으로 "h**p://0uzzang.net/*****.htm?i=(변수)" 웹 사이트로 연결되는 것을 확인할 수 있습니다.

연결된 웹 사이트는 변수값을 가지는 파일명을 다운로드하기 위해 다운로드(Download) 버튼을 클릭하도록 제작되어 있는 전형적인 웹하드 홍보 사이트임을 확인할 수 있습니다.

다운로드 버튼을 클릭하면 회원 가입을 통해 무제한 다운로드를 할 수 있다는 페이지로 이동한다는 메시지창이 생성됩니다.

이를 통해 최종적으로 연결된 웹하드 회원 가입 페이지에서는 "주민등록번호 + 휴대폰 번호"를 이용한 "인증 번호"를 통해 매월 요금이 청구되는 자동 연장 결제 방식으로 회원 가입을 유도하고 있습니다.

이 과정에서 추가적으로 폐쇄적으로 운영되는 유사 서비스 2곳의 파트너 계정을 포함해 사용자 몰래 파트너 아이디(ID)를 추가하는 방식으로 금전적 수익을 창출하는 부분을 확인할 수 있습니다.

 

해당 파일의 사이트 접속 연결 행위는 악성코드 감염 유발에 사용하는 것과 흡사하다는 점과 중국 제작툴로 제작된 것으로 보이는 부분이 있는 것으로 보아 돈벌이를 위해 나름대로 투자를 한 것으로 보입니다.

 

또한 웹하드 자료에 접근하기 위해 처음부터 자동 연장 결제 방식의 회원 가입을 유도할 경우에는 결제 해지를 비롯해 차후 금전적 피해가 발생할 수 있으므로 주의하시기 바랍니다.

728x90
반응형