본문 바로가기

벌새::Security

Internet Explorer 추가 기능 알림을 우회하는 국내 광고 프로그램 사례 (2013.11.15)

728x90
반응형

소프트웨어 중에서 Internet Explorer 웹 브라우저를 사용하는 과정에서 함께 동작하도록 구현하기 위해 확장 프로그램으로 등록할 경우 기본적으로 설치 완료 후에는 다음과 같은 알림바를 생성하여 사용자로부터 사용 여부를 묻도록 되어 있습니다.

예를 들어 알툴바(ALToolbar) 프로그램을 설치 완료한 후 Internet Explorer 웹 브라우저를 실행하면 하단 영역에 노란색 알림바를 생성하여 ['ESTsoft Corp.'의 'ALToolBar' 추가 기능을 사용할 준비가 되었습니다.]라는 메시지를 통해 알툴바(ALToolbar)를 Internet Explorer 웹 브라우저 동작시 자동으로 사용할지를 사용자가 결정하도록 하고 있습니다.

이를 통해 사용자가 알툴바(ALToolbar) 프로그램의 사용을 허용할 경우에만 Internet Explorer 웹 브라우저의 도구 모음에 알툴바(ALToolbar)가 표시되어 프로그램을 사용할 수 있도록 하고 있습니다.

 

위와 같은 절차를 준수하도록 한 이유는 일부 악성 프로그램이 설치되어 Internet Explorer 웹 브라우저의 확장 프로그램에 등록되는 과정에서 사용자 몰래 설치되는 일이 없도록 사용자에게 정확하게 인지시켜 사용자의 사용 여부를 결정하도록 하기 위함으로 풀이됩니다.

 

  <Microsoft Malware Protection Center> Febipos for Internet Explorer (2013.11.14)

 

근래 마이크로소프트(Microsoft)에서는 악성 웹 브라우저 확장 프로그램으로 "MicrosoftSecurityPlugin" 항목을 등록하는 Trojan:Win32/Febipos.B!dll 악성코드에 대한 정보를 공개하였습니다.

 

해당 분석 내용을 읽어보면 감염되어 확장 프로그램을 등록하는 동작에서 Internet Explorer 웹 브라우저의 알림 기능을 비활성화하도록 레지스트리 값을 조작하는 방법에 대해 설명(The following registries entries are also created to disable some Internet Explorer notifications)하는 부분이 있습니다.

 

그런데 이같은 유사 방식을 최근 국내에서 배포 중인 광고 기능이 필수적으로 포함된 "Window Boan Patch v1.1" 프로그램에서 우연히 발견하여 정보를 공개해 드립니다.

 

  "Window Boan Patch v1.1" 보안 패치 프로그램에 추가된 광고 기능 주의 (2013.11.14)

원래 "Window Boan Patch v1.1" 프로그램이 설치된 후 사용자가 Internet Explorer 웹 브라우저를 실행할 경우에는 위에서 설명한 것처럼 하단 영역에 ['Everyzone Inc.'의 'PatchHelper' 추가 기능을 사용할 준비가 되었습니다.]라는 알림바가 생성되어 사용자가 사용 여부를 결정해야 하며, 결정되기 이전까지는 확장 프로그램에 등록된 "PatchHelper" 항목의 상태는 사용 여부가 결정되지 않은 상태를 유지됩니다.

그런데 실제 "Window Boan Patch v1.1" 프로그램이 설치된 이후 Internet Explorer 웹 브라우저를 실행할 경우에는 노란색 알림바를 통해 "PatchHelper" 확장 프로그램이 등록되었음을 표시하지 않으며, 자동으로 "사용 함"으로 지정되어 사용자가 인터넷 검색을 시도할 경우 검색 키워드 값을 수집하여 웹 브라우저 상단에 광고바를 생성하는 기능을 수행합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - "IgnoreFrameApprovalCheck" = dword:00000001

해당 원인을 찾아보면 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Ext"
키값에 "IgnoreFrameApprovalCheck" 값을 추가하여 Internet Explorer 웹 브라우저의 확장 프로그램이 설치될 경우 알림바가 표시되지 않도록 조작한 것을 확인할 수 있습니다.

 

이로 인하여 사용자는 Windows 보안 패치 기능을 가진 "Window Boan Patch v1.1" 프로그램 설치로 인하여 사용자가 제대로 인지하지 못하는 필수 광고 기능이 포함되는 과정에서 확장 프로그램(PatchHelper) 등록에서도 조차 사용자의 결정권을 우회하는 방식으로 취하고 있습니다.

 

단순히 위와 같은 등록 행위가 "Window Boan Patch v1.1" 프로그램에 제한적으로 적용되는 것이 아니라 이후 설치되는 모든 프로그램 중 Internet Explorer 웹 브라우저의 "도구 모음 및 확장 프로그램"에 등록되는 과정에서 알림바는 생성되지 않으며, 차후 "Window Boan Patch v1.1" 프로그램을 삭제한 이후에도 등록된 레지스트리 값으로 인해 지속적인 문제가 유발되고 있습니다.

 

해당 레지스트리 값 등록을 통해 정책을 변경하는 행위 자체가 악성 프로그램에서만 이루어지는 비정상적인 편법 행위인지는 알 수 없지만, 위와 같은 특정 소프트웨어 배포 편의를 위해 등록한 값 하나로 사용자는 자신도 모르게 등록될 수 있는 확장 프로그램으로 인해 불편 또는 위험에 노출될 수 있다는 점은 프로그램 제작사가 국내 보안 업체라는 점에서 의문이 가득합니다.

 

 

728x90
반응형