울지않는벌새 : Security, Movie & Society

네이버(Naver) 영화 검색 조작 프로그램? (2013.9.26)

벌새::Analysis

국내 인터넷 검색의 중심이 네이버(Naver)에 집중되어 있다보니 특정 검색 키워드의 상위 노출을 위해 악성 프로그램을 제작하여 사용자 PC에 설치하여 검색 조작을 하는 경우를 목격할 수 있습니다.

 

  국내 악성코드 : MassiveDynamic (2013.3.13)

 

  국내 악성코드 : MSTools (2013.6.18) 외 11종

 

  국내 악성코드 : MaxFloating (2013.9.7)

 

대표적으로 기존에 소개한 포털 사이트 검색 조작 프로그램은 제휴 프로그램을 통해 설치된 후 사용자가 인지하기 힘든 시스템 부팅 과정에서 짧은 시간만 동작하도록 되어 있습니다.

 

이번에 살펴볼 프로그램은 확인되지 않은 프로그램이 추가적으로 특정 서버로부터 test.exe 파일을 다운로드하여 시스템 시작시 자동 실행되도록 등록한 후 네이버(Naver) 검색 서비스에 특정 검색 키워드 값을 전송하는 방식입니다.

다운로드된 파일은 2013년 9월 25일 저녁경에 AhnLab Cloud 기준으로 1,000대 가량 설치된 것으로 보이며, 어떤 프로그램이 test.exe 파일(MD5 : d34e84cb61ac97326ada6624c4e3008e)을 받아오는지는 능력 밖의 일입니다.

 

  검색 도우미 : Windows Live Social Shopping Feeds Product (2013.8.26)

 

  검색 도우미 : Windows Basic Free WinShop (2013.9.17)

 

참고로 test.exe 파일을 받아오는 서버와 연관된 검색 도우미 프로그램들이 최근 발견된 적이 있으므로 참고하시기 바랍니다.

 

문제의 test.exe 파일은 시스템 시작 후 6분 30초 가량 동작이 이루이진 후 자동 종료 처리되며, 다음과 같은 정보를 확인할 수 있습니다.

파일 실행시 특정 서버에서 네이버(Naver) 통합 검색 서비스에 특정 검색 키워드에 대한 자동 검색 구성값을 체크합니다.

현재 확인된 검색 키워드 값은 2013년 9월 26일 국내 개봉을 시작한 해외 영화 "히든카드(Runner Runner)"입니다.

이를 통해 시스템 시작시 자동 실행된 test.exe 파일은 백그라운드 방식으로 네이버(Naver) 검색 서비스에 "히든카드" 키워드를 전송하여 마치 인간이 검색한 것처럼 조작을 시도합니다.(※ 보통 1회 부팅시 최소 2회 검색을 시도합니다.)

위와 같이 최소 수천대 이상의 감염된 PC에서 자동으로 검색이 이루어진다면 위와 같이 네이버(Naver) "상영영화 일간검색어" 상위의 상위에 노출이 될 것이며, 이를 통해 영화는 돈을 벌게 된다는 상상이 이루어지겠죠.(※ 설마 광고업자가 무상으로 또는 테스트를 목적으로 봉사하는 것은 아니겠죠? 멍2)