울지않는벌새 : Security, Movie & Society

네이버(Naver)에 광고를 생성하는 Lyrics Shout 프로그램 주의 (2013.7.2)

벌새::Analysis

올해(2013년) 국내 인터넷 사용자들 중에서 유독 네이버(Naver) 포털 사이트에 접속할 경우 메인 페이지를 비롯한 각종 서비스 서비스에서 광고 배너가 나타나는 문제가 있다는 글을 볼 수 있었습니다.

해당 광고를 생성하는 프로그램의 정체에 대해 최근까지 알려진 정보는 다음과 같습니다.

  1. 다음(Daum) 등 타 포털 사이트에서는 생성되지 않는다.
  2. 해외 광고로 추정된다.
  3. 브라우저 도우미 개체(BHO) 방식으로 구현된다.
  4. 제어판의 삭제 항목에서 쉽게 발견되지 않는다.

이를 근거로 몇 개월 동안 추적하던 중 최근에 무료 VPN 프로그램으로 유명한 Hotspot Shield 사용 중 다운로드되는 파일을 통해 다수의 광고 프로그램이 강제적으로 설치되는 과정에서 네이버(Naver) 웹 사이트에서 광고를 노출하는 파일을 확인하였습니다.

 

프로그램의 설치 과정에 대해서는 차후 소개할 예정이며, 이 글에서는 네이버(Naver) 포털 사이트를 타켓으로 광고를 생성하는 "Lyrics Shout" 프로그램에 대해 살펴보도록 하겠습니다.

 

설치 과정에서는 특정 드로퍼(Dropper) 파일(MD5 : df396d53ca2ff61f96f2ad9489ca5bfb)을 통해 특정 서버에서 파일을 다운로드하여 "C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\(영문+숫자).tmp\xvidly_revizer.exe" 파일을 생성하여 설치 및 자가 삭제가 이루어집니다.

 

참고로 해당 파일(MD5 : 1b8f6e77cf2bcc9f8c7ee8a25b97cd8e)에 대하여 Symantec 보안 제품에서는 Adware.Singalng (VT : 11/47) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\LyricsShout
C:\Program Files\LyricsShout\chrome.crx :: Google Chrome 확장 프로그램(Lyrics Shout)
C:\Program Files\LyricsShout\chrome.manifest
C:\Program Files\LyricsShout\FF
C:\Program Files\LyricsShout\FF\chrome
C:\Program Files\LyricsShout\FF\chrome.manifest
C:\Program Files\LyricsShout\FF\chrome\content
C:\Program Files\LyricsShout\FF\chrome\content\icon.png
C:\Program Files\LyricsShout\FF\chrome\content\main.js
C:\Program Files\LyricsShout\FF\chrome\content\overlay.xul
C:\Program Files\LyricsShout\FF\install.rdf
C:\Program Files\LyricsShout\lrcsht.exe
C:\Program Files\LyricsShout\lshout.dll :: BHO 등록 파일
C:\Program Files\LyricsShout\Uninstall.exe :: 프로그램 삭제 파일
C:\WINDOWS\Tasks\Lyrics Shout Update.job :: 예약된 작업(Lyrics Shout Update)

해당 프로그램은 "C:\Program Files\LyricsShout" 폴더에 파일을 생성하며, Internet Explorer, Mozilla Firefox, Google Chrome 웹 브라우저 환경에서 브라우저 도우미 개체(BHO) 또는 확장 프로그램으로 등록하여 광고 기능을 수행합니다.(※ 이 글에서는 Internet Explorer, Google Chrome 웹 브라우저 환경을 중심으로 소개하겠습니다.)

 

1. 업데이트 기능

해당 프로그램은 프로그램 예약된 작업(C:\WINDOWS\Tasks\Lyrics Shout Update.job)에 "Lyrics Shout Update" 작업을 추가하여 특정 시간(※ 프로그램 설치 시간 기준)마다 ["C:\Program Files\LyricsShout\lrcsht.exe" /update] 파일을 실행하여 업데이트 체크를 수행합니다.

 

2. Internet Explorer 웹 브라우저 광고 기능

Lyrics Shout 프로그램이 설치된 환경에서는 네이버(Naver) 메인 페이지 이외에 인터넷 검색시 상단, 우측 사이드바, 하단 영역에 다양한 광고를 노출하는 것을 확인할 수 있습니다.

특히 네이버 로그인 페이지 영역에서도 상단과 하단에 광고 배너를 추가한 점을 본다면 네이버(Naver) 서비스의 레이아웃을 고려한 광고 프로그램으로 추정됩니다.

해당 광고 배너들은 공통적으로 "lax1.ib.adnxs.com" 제휴 코드를 경유하여 연결이 이루어지는 특징을 가지고 있으며, 도메인을 확인해보면 미국(USA)에 위치한 해외 마케팅 관련 업체와 연관된 것으로 추정됩니다.

또한 그 외에도 웹 브라우저 이용시 다양한 팝업창이 생성되며, 일부 광고의 경우 한글로 제공되어 국내 광고로 착각할 수 있습니다.

 

  대통령 후보 설문 조사를 하는 이벤트 광고 (2012.7.1)

 

참고로 한글 광고는 기존에도 소개한 적이 있는 대통령 후보 설문 조사 또는 아이폰, 아이패드 경품 관련 해외 광고 계열입니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : Lyrics Shout

게시자 : Gamer Computers Equipment

유형 : 브라우저 도우미 개체

CLSID : {533B3693-0C31-429D-9109-9D66A77E913F}

파일 : C:\Program Files\LyricsShout\lshout.dll

 

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 lshout.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 광고를 생성하는데, 특이한 점은 광고 기능 중지를 사용자가 하지 못하도록 "사용 안 함" 버튼을 비활성화 처리하였다는 점입니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\
CLSID
 - {533B3693-0C31-429D-9109-9D66A77E913F} = 1

브라우저 도우미 개체(BHO) 항목을 사용자가 관리할 수 없도록 하는 기법은 레지스트리 값 추가를 통해 가능하며, "사용 안 함" 버튼의 활성화를 위해서는 레지스트리 편집기(regedit)를 실행하여 다음과 같이 수정하시기 바랍니다.

즉, "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
\Ext\CLSID\{533B3693-0C31-429D-9109-9D66A77E913F}"
 데이터 값을 "1 → 2"로 변경하시기 바랍니다.(※ 해당 레지스트리 값 자체를 삭제 처리하셔도 활성화할 수 있습니다.)

데이터 값 변경이 이루어진 경우 "Lyrics Shout" 브라우저 도우미 개체(BHO) 항목을 선택하면 "사용 안 함" 버튼이 활성화되어 있으므로 버튼을 클릭하여 광고 기능을 중지시키시기 바랍니다.

 

3. Google Chrome 웹 브라우저 광고 기능

Google Chrome 웹 브라우저에서는 "C:\Program Files\LyricsShout\chrome.crx" 파일을 통해 확장 프로그램(chrome://extensions)에 "Lyrics Shout" 항목을 추가하여 광고 기능을 수행하도록 제작되어 있습니다.

[Lyrics Shout 앱 권한]

 

● 모든 웹 사이트의 데이터에 액세스

● 탭 및 탐색 활동에 액세스

이를 통해 다양한 네이버(Naver) 서비스에 광고 배너를 노출하고 있으며, 한글로 표기된 광고도 다수 발견되어 사용자는 네이버(Naver)에서 제공하는 광고로 착각할 가능성이 높습니다.

 

그러므로 Google Chrome 웹 브라우저에서는 광고 기능 중지를 위해서는 확장 프로그램(chrome://extensions)의 "Lyrics Shout" 항목의 "사용 설정됨" 체크 박스 해제 및 휴지통 아이콘을 클릭하여 삭제 처리하시기 바랍니다.

 

4. 프로그램 삭제

프로그램 삭제시에는 모든 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Lyrics Shout" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

하지만 일부 사용자 중에서 제어판의 삭제 항목이 존재하지 않는 경우가 있는 것으로 추정되므로, 이런 경우에는 반드시 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "Lyrics Shout" 브라우저 도우미 개체(BHO)를 "사용 안 함"으로 변경한 상태에서 생성 폴더(파일), 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\LyricsShout
HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions
 - LyricsShout@lyricsshout.net = C:\Program Files\LyricsShout\FF\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{533B3693-0C31-429D-9109-9D66A77E913F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6318D32B-AA79-460A-AAE4-31319E5E3D4D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3C6AC8EC-B969-4E4A-825E-2B0A52A465EB}
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\
kjdieadfiekehfcpginpmjnmcbdmoack
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{533B3693-0C31-429D-9109-9D66A77E913F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext
 - ListBox_Support_CLSID = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext
\CLSID
 - {533B3693-0C31-429D-9109-9D66A77E913F} = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
LyricsShout@lyricsshout.net
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\
kjdieadfiekehfcpginpmjnmcbdmoack

 

Lyrics Shout 프로그램은 해외 광고 프로그램임에도 불구하고 네이버(Naver) 포털 사이트에서 광고를 노출할 목적으로 제작된 것으로 보이며, 일부 인터넷 사용자 중에서 불법 유해 정보 사이트를 이용하던 중 설치되는 것으로 보이므로 주의하시기 바랍니다.