울지않는벌새 : Security, Movie & Society

네이버 지식인 출처 링크를 이용한 국내 애드웨어 유포 사례 (2014.2.24)

벌새::Analysis

국내에서 제작된 애드웨어(Adware) 배포를 목적으로 네이버(Naver) 지식인의 답변 출처 기능을 이용하는 사례가 확인되어 살펴보도록 하겠습니다.

확인된 지식인 답변글을 살펴보면 Windows 정품 인증 관련 파일을 다운로드하도록 답변한 후 "답변 출처" 기능에 네이버(Naver) QR코드 주소(m.site.naver.com/qrcode)를 등록하여 클릭하도록 유도하고 있습니다.

 

  네이버 QR코드 주소를 이용한 국내 애드웨어 배포 방식 (2014.2.13)

 

특히 네이버(Naver) QR코드 주소는 사용자로 하여금 네이버(Naver) 도메인 주소로 표시되어 신뢰감을 준다는 점에서 국내 애드웨어(Adware) 유포에 활용되는 것으로 파악되고 있습니다.

 

이를 통해 최종적으로 다운로드된 파일<SHA-1 : 1e6e8a031a39cf31486ac8c1bdf07bf22915c77d) - ESET : probably a variant of Win32/Adware.Kraddare.EZ (VT : 4/50)>"Pacifics Co.,Ltd" 디지털 서명이 포함되어 있으며, 위즈유틸(WizUtil) 파일 자료실에서 받아오고 있는 것으로 확인되고 있습니다.

다운로드된 파일 평판 정보를 살펴보면 2013년 12월 6일경부터 최근까지 수만대의 PC에서 발견되고 있습니다.

사용자가 파일을 실행하면 "위즈유틸 다운로더" 창이 생성되어 파일 다운로드를 하도록 유도하며, 하단에는 사용자가 확인하기 어려운 작은 영역에 6종의 제휴 프로그램이 등록되어 있는 것을 확인할 수 있습니다.

 

위와 같은 다운로더 창을 통해 사용자가 부주의하게 제휴 프로그램의 체크를 해제하지 않은 상태로 실행(저장)할 경우 다수의 불필요한 프로그램(PUP)이 자동으로 설치될 수 있습니다.

  1. h**p://www.the**.co.kr/bin/tam_sbox.exe (SHA-1 : 5e2f30ab08b146aaf6b9b4541e03bf8b7508c766)
  2. h**p://codebase.****comms.co.kr/codebase/websetup/appis/WSLpullzip.exe (SHA-1 : d8abf64f157185c95aeebb6af1cfd46b3993de60) - AhnLab V3 : PUP/Win32.GoodComms (VT : 2/49)
  3. h**p://**ang.co.kr/app/1123/NetworkWidgetSetup_k7000.exe (SHA-1 : 94edb1f57e093ee14239c38c9ab0ce054f15ed40) - AhnLab V3 : PUP/Win32.Helper (VT : 27/50)
  4. h**p://ad.***click.kr/down/WindowNetworkManage_code46.exe (SHA-1 : 65e49a47431363e9b69a347a02017a6c3fd1fb1c) - AhnLab V3 : PUP/Win32.WNM (VT : 40/50)
  5. h**p://update.security***.co.kr/ssdfer/securitytopsetup_divide.exe (SHA-1 : debd5ae563581561c2be0690301019e934c264a2) - AhnLab V3 : PUP/Win32.SecurityTop (VT : 17/49)
  6. h**p://app.korean***word.com/INST/B31128/KW10V312.exe (SHA-1 : ce8d6eb54602cdee84e1141cfbf776341c881a35) - AhnLab V3 : PUP/Win32.WinKeyword (VT : 29/49)

참고로 제휴 프로그램을 받아오는 서버를 확인해보면 총 20종의 프로그램이 등록되어 있으며, 배포 파일에 따라서 실제로 받아오는 제휴 프로그램은 변경될 수 있을 것으로 보입니다.

  1. h**p://filter.w*na*p.kr/appdownload/windowunitpop011.exe (SHA-1 : 6c82154b7f10aa1e31494467de3ea9d59497de64) - avast! : Win32:Adware-AZE [Adw] (VT : 5/50)
  2. h**p://download.gear***.com/ge/download/partner/ins.p1.exe (SHA-1 : c04bf117cfa830c7ddaa048e0f2169c9af32e8f0) - AhnLab V3 : PUP/Win32.IntClient (VT : 10/49)
  3. h**p://down.t*es*i.net/download/adInstall_ssi009.exe (SHA-1 : 40ab0ea6cbe0124834dc3edf189ace16a6a2653b) - nProtect : Adware/W32.Agent.662112.C (VT : 24/50)
  4. h**p://down.***shop.net/star/star3/SubSSetup.exe (SHA-1 : 2db0554149d94fb4bdd8dd805cf546a45e05cf8a) - AhnLab V3 : PUP/Win32.SubShop (VT : 3/49)
  5. h**p://search***.kr/bin/sk02.exe (SHA-1 : b21512e6b8df7dfe99c1bfd3b8882336c7ceeb21) - AhnLab V3 : PUP/Win32.SearchKey (VT : 8/49)
  6. h**p://magic****.net/ver3/app/install/Setup(V3004).exe (SHA-1 : 801573eb42b4f0bc2c747a33a6f7bed64da6e68f) - AhnLab V3 : PUP/Win32.WindowsNAS (VT : 26/49)
  7. h**p://dn.plus****.com/setup_kplus_h.exe (SHA-1 : 6b65625f648bb469b2370d1a970a2afc94493a4a) - AhnLab V3 : PUP/Win32.KorAd (VT : 34/50)
  8. h**p://***careplus.com/_version1/install/Setup.w05.exe (SHA-1 : 35f924d5aaf58512de4016e09a15ef9f59bc375c) - avast! : Win32:Adware-AZC [Adw] (VT : 3/50)
  9. h**p://down.*****search.kr/file/opensearchGT_09_hinst.exe (SHA-1 : a5d68b69084ef178c50660ecabdad6f4d34d0b9a) - AhnLab V3 : PUP/Win32.Enumerate (VT : 36/50)
  10. h**p://m.batang****.net/fdwn/bt_neo9.exe (SHA-1 : ac89726c0a715ef2e807b4817e6006ccebf74b83) - AhnLab V3 : Backdoor/Win32.Runagry (VT : 38/50)
  11. h**p://down.search******.co.kr/download/Searchline_nc_sline_purple_hinst.exe (SHA-1 : 17a40b6044153c3afc66971c9cc16be9af1ee2a4) - AhnLab V3 : PUP/Win32.Enumerate (VT : 26/49)
  12. h**p://file.m**k.co.kr/app/windowstab/WindowsTabSetup_utilshare.exe (SHA-1 : 9bf91ef43a01bdd24a5db1275014d83e8d04b377) - AhnLab V3 : PUP/Win32.WindowsTap (VT : 33/50)
  13. h**p://www.**ang.co.kr/app/0529/WinExpandSetup_utilshare.exe (SHA-1 : cdbb3827246f44829801adbf1341f0f11239339f) - AhnLab V3 : PUP/Win32.Winexpand (VT : 17/46)
  14. h**p://****keeper.kr/app_version/solution/install/SetupProg_MK4.exe (SHA-1 : 2b013541c7075276c50aa4951860b9ec0acbe3a4) - AhnLab V3 : PUP/Win32.SafeKeeper (VT : 17/49)

위와 같은 제휴 프로그램은 보안 제품에서 진단되지 않는 문제가 있을 수 있으므로 사용자들이 파일 실행시 추가적으로 설치될 수 있는 제휴 프로그램 여부를 잘 확인하는 습관을 가지시기 바랍니다.