국내에서 제작된 다양한 광고 프로그램의 주요 유포지는 다음(Daum) 블로그에 기계적으로 등록된 링크 방식의 첨부 파일을 통해 이루어지고 있으며, 여전히 많은 사용자들은 무감각하게 이런 파일을 다운로드하여 실행하는 과정에서 "불필요한 프로그램(PUP)"이 자신도 모르게 설치되고 있습니다.
▷ 다운로드 도우미 : 탑유틸(TopUtil) (2012.10.31)
▷ 반복적으로 다운로드 창을 생성하는 다운로드 도우미? (2012.11.1)
▷ 다운로드 도우미 : 캣유틸(CatUtil) (2013.2.19)
▷ 다운로드 도우미 : 후디스크 자료실 다운로드(Whodisk) (2013.4.14)
현재 개인적으로 파악한 위와 같은 수익성 프로그램 배포를 목적으로 운영되는 파일 자료실은 100여개가 운영되는 것으로 보이며, 보안 제품을 통해서는 진단이 쉽지 않다는 문제로 인해 앞으로도 지속적으로 피해가 예상됩니다.
이번에 살펴볼 사례는 블로그를 통한 유포와 자동으로 설치되는 "풀유틸(FullUtil)" 프로그램에 대한 정보입니다.
예를 들어 해외 통합코덱으로 유명한 K-Lite Codec Pack 프로그램을 다운로드할 수 있다는 스팸(Spam) 블로그를 무수히 등록하여 인터넷 검색을 통해 상위에 노출되도록 하여 다운로드를 유도할 수 있습니다.
블로그 글에서는 K-Lite Codec Pack 프로그램에 안내와 함께 설치 파일을 다운로드할 수 있는 링크를 제공하며, 해당 링크는 특정 자료실 서버와 연결되어 다음과 같은 파일을 받아옵니다.
다운로드된 파일(MD5 : be36d64f3f3f1210a9b53135a8bcc844)은 "mediasave" 디지털 서명을 포함되고 있으며, 일반적으로 보안 제품에서는 쉽게 진단에 포함되지 않습니다.
다운로드된 파일을 실행할 경우 "초고속 다운로드 런쳐" 창이 생성되어 사용자가 다운로드를 원하는 K-Lite Codec Pack 설치 파일을 특정 서버로부터 다운로드할 수 있도록 되어 있습니다.
이 과정에서 2가지 주목할 부분은 사용자 몰래 "풀유틸(FullUtil)" 프로그램이 자동으로 설치된다는 점과 사용자가 제대로 인지하지 못하는 영역에 "스폰서 프로그램"으로 등록된 다수의 수익성 프로그램들이 함께 설치될 수 있다는 점입니다.
1. "초고속 다운로드 런쳐" 창 생성시 자동으로 설치되는 "풀유틸(FullUtil)" 프로그램
C:\Program Files\FullUtil
C:\Program Files\FullUtil\FullUtilDown.exe :: 초고속 다운로드 런쳐 생성 파일
C:\Program Files\FullUtil\FullUtilService.exe :: 시작 프로그램 등록 파일
C:\Program Files\FullUtil\Uninstall.exe :: 프로그램 삭제 파일
C:\Windows\System32\remover.exe
C:\Program Files\FullUtil\FullUtilDown.exe
- MD5 : db45f0492120853931acc16d0da5bc15
- AhnLab V3 : PUP/Win32.Downloader (VT : 3/47)
풀유틸(FullUtil) 프로그램은 "C:\Program Files\FullUtil" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\FullUtil\FullUtilService.exe run" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
Windows 7 운영 체제 기준에서는 프로그램 품질의 문제로 인하여 시스템 시작시 "JoyUtilService" 창이 생성되는 문제가 발생하지만, Windows XP 운영 체제에서는 위와 같은 창은 노출되지 않을 것으로 추정됩니다.
만약 정상적으로 시스템 시작시 시작 프로그램(FullUtilService.exe)이 동작한다면 특정 서버에서 프로그램 버전, 부팅, 숨겨진 번들(Bundle) 프로그램 체크 동작이 이루어질 수 있습니다.
또한 기본적으로 풀유틸(FullUtil) 프로그램은 사용자가 인터넷 상에서 풀유틸(FullUtil) 자료실로 연결되는 다운로더(Downloader) 파일을 다운로드하여 실행할 경우 "초고속 다운로드 런쳐" 창을 생성하는 기능을 수행합니다.
프로그램 삭제는 제어판에 등록된 "풀유틸" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 "C:\Windows\System32\remover.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\FullUtil
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- FullUtilService = C:\Program Files\FullUtil\FullUtilService.exe run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FullUtil
2. "초고속 다운로드 런쳐" 창에 추가된 "스폰서 프로그램" 정보
사용자가 블로그에서 다운로드한 파일을 실행할 경우 생성된 "초고속 다운로드 런쳐" 창에는 사용자가 제대로 확인을 하지 않은 상태에서 "전송 시작" 버튼을 클릭할 경우 K-Lite Codec Pack 파일을 다운로드하는 동시에 백그라운드 방식으로 제휴 프로그램에 등록된 다수의 수익성 프로그램들이 자동 설치됩니다.
이로 인하여 사용자는 어떤 경로를 통해 광고 프로그램들이 설치되었는지 제대로 인지하지 못하며, 운좋게 설치된 프로그램을 삭제하여도 위와 같은 잘못된 습관으로 인하여 차후 반복적으로 당할 수 있습니다.
특히 사용자가 다운로드한 파일을 실행하였을 경우 "초고속 다운로드 런쳐" 창이 생성되는 것을 확인하고 전송을 하지 않은 상태로 창을 종료할 경우를 대비하여 "다운로드 후 종료하시겠습니까?"라는 메시지 창을 통해 사용자가 실수로 "예(Y)" 버튼을 클릭하도록 유도하여 제휴 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.
그러므로 위와 같이 블로그를 통한 파일 다운로드 행위 자체를 하지 않는 것이 현재 국내 인터넷 환경에서는 매우 중요하며, 다운로드 파일을 실행하였을 경우 "초고속 다운로드 런쳐" 창과 유사한 형태가 생성된다면 우측 상단의 "닫기(X)" 버튼을 클릭하여 추가적인 진행을 하지 않도록 하시기 바랍니다.
참고로 사용자가 "초고속 다운로드 런쳐" 창을 종료할 경우 "C:\Windows\system32\remover.exe" 파일이 자동으로 블로그에서 다운로드한 파일을 삭제 처리하여 자신의 흔적을 제거하고 있습니다.
또한 파일 실행 및 프로그램 설치 과정에서는 추가적으로 설치될 수 있는 제휴(스폰서) 프로그램이 무엇인지 화면을 꼼꼼하게 체크하여 숨어있는 수익성 프로그램이 함께 설치되지 않도록 확인하는 습관이 매우 중요하겠습니다.
현재 풀유틸(FullUtil) 프로그램의 "초고속 다운로드 런쳐"를 통해 설치 가능한 제휴 프로그램에 대한 정보는 다음과 같습니다.
(1) PC 최적화 프로그램 : 패스트서비스(FastService) (2013.7.12)
- h**p://update.****service.co.kr/set/fastservicesetup_pds.exe (MD5 : 4b4535d8821b18e96119a71e02ba5bde) - AhnLab V3 : PUP/Win32.PowerBoan (VT : 33/47)
(2) 검색 도우미 : Addendum-nm - addendum_sb (csbnm) (2013.9.8)
- h**p://app2.**mon.co.kr/file/v2/addnvz1.exe (MD5 : 1906c232386256d5cf0a524e2d033b87) - Kaspersky : Trojan.Win32.Badur.uhp (VT : 12/47)
(3) 검색 도우미 : Enumerate Top Search - GT (2013.4.24)
- h**p://down.enumst***.co.kr/download/enumerate_gt_epinst11.exe (MD5 : 34156cb06d083d2ba40f6a275c326fbf) - Kaspersky : Trojan-Downloader.Win32.Genome.eose (VT : 14/47)
- <추가 다운로드> h**p://down.enumst****.co.kr/download/Enumerate_gt_utiland_hinst.exe (MD5 : a7279e851d78e845f2c6cc23708fad4e) - MSE : Adware:Win32/Enumerate (VT : 27/47)
(4) 검색 도우미 : Window Network Manager (2013.5.29)
- h**p://ad.***click.kr/down/WindowNetworkManage_codenemo11.exe (MD5 : a0fa60f4e13bba0241d5dab547517c5f) - AhnLab V3 : PUP/Win32.Helper (VT : 8/47)
(5) 제휴(스폰서) 프로그램 : Windows SeStPageSetup (2013.7.2)
- h**p://dn.**condpage.co.kr/Set_aSec_H.exe (MD5 : 183ff3e21d0bf0c19d0d68ed5da54586) - nProtect : Adware/W32.Agent.129568 (VT : 7/47)
(6) 검색 도우미 : Windows OpenSearch (2013.6.21)
- h**p://down.***address.co.kr/file/Windowsopensearch_dns10_hinst.exe (MD5 : 84dad2515b683481fedcfa8e3e39b68c) - AhnLab V3 : PUP/Win32.Enumerate (VT : 30/47)
이렇게 설치된 다수의 수익성 프로그램 중에서는 차후 특정 시점에서 또 다른 다수의 수익성 프로그램의 설치를 유도하는 동작이 있을 수 있으며, 부주의한 사용자들은 지속적으로 원치않는 "불필요한 프로그램(PUP)"을 설치하는 악순환이 이어질 수 있습니다.
위와 같은 유포 방식과 설치될 수 있는 파일에 대해 보안 제품을 통한 차단은 현실적으로 어려울 수 있으므로, 사용자들이 위와 같은 유포 방식을 잘 인지하여 광고 프로그램들이 설치되지 않도록 스스로 예방하시기 바랍니다.