본문 바로가기

벌새::Security

초코플레이어(ChocoPlayer) 서비스 오류와 프로그램 사용 주의 (2014.3.1)

반응형

국내에서 제작된 초코플레이어(ChocoPlayer) 동영상 재생 프로그램이 현재 공식 홈 페이지가 연결되지 않으며, 프로그램을 실행할 경우 동작하지 않도록 변경된 것으로 확인되고 있습니다.

 

하지만 일부 사용자들 중에서 프로그램 사용을 목적으로 오래 전에 배포한 초코플레이어(ChocoPlayer) 구버전을 사용하는 문제로 인하여 보안상 위험에 노출될 수 있는 부분에 대해 살펴보도록 하겠습니다.

우선 현재 Naver Software 파일 자료실에 등록된 초코플레이어(ChocoPlayer) 1.1.3 최신 버전을 이용하여 설치를 진행해 보도록 하겠습니다.

코플레이어(ChocoPlayer) 최신 버전을 설치한 이후 프로그램을 실행하면 "can't open XML DOM" Error 창을 생성하는 것을 확인할 수 있습니다.

이후 "Microsoft Visual C++ Runtime Library" 창 생성을 통해 초코플레이어(ChocoPlayer) 실행 파일(C:\Program Files\Clunet\ChocoPlayer\ChocoPlayer.exe)을 실행할 수 없다는 메시지와 함께 종료 처리가 이루어집니다.

 

확인된 해당 증상은 ChocoPlayer 1.1.1 버전(2012년 9월 12일), ChocoPlayer 1.1.2 버전(2013년 8월 14일), ChocoPlayer 1.1.3 버전(2013년 10월 31일) 모두에서 동일하게 발생하고 있습니다.

 

이로 인하여 초코플레이어(ChocoPlayer) 프로그램을 지속적으로 사용하고 싶은 사용자들을 위해 일부 블로그에서는 초창기 버전을 통해 프로그램을 사용할 수 있는 방법을 소개하고 있는 것으로 보입니다.

 

실제로 ChocoPlayer 1.0 버전(2010년 3월 16일)을 이용하여 프로그램 설치를 통해 정상적으로 프로그램을 사용할 수 있는지 알아보았습니다.

초코플레이어(ChocoPlayer) 1.0 버전이 설치된 후 프로그램이 오류없이 실행된 후에는 자동 업데이트를 통해 상위 버전으로 업데이트할 수 있도록 제공하고 있습니다.

업데이트 동의를 클릭하면 특정 서버로부터 초코플레이어(ChocoPlayer) 업데이트 패치 파일(SHA-1 : 7f8e1f1facf4cefc5ac3c430ef93e278a0c4b2eb)을 다운로드하여 "C:\Program Files\Clunet\ChocoPlayer\ChocoPlayer_Patch.exe" 파일로 생성합니다.

생성된 패치 파일(ChocoPlayer_Patch.exe)은 자동 실행되어 "플레이어 업데이트 설치" 창을 생성하여 업데이트가 진행되도록 합니다.

모든 업데이트가 이루어진 후 초코플레이어(ChocoPlayer)는 정상적으로 실행되어 동영상 재생에 아무런 문제없이 사용할 수 있습니다.

하지만 초코플레이어(ChocoPlayer) 프로그램을 실행할 때마다 자동으로 업데이트 서버(115.165.176.5)에 접속하여 업데이트 정보를 체크하며, 현재 발생하는 문제로 인하여 "서버 버전 가져오기 실패!" 메시지만 표시되고 있습니다.

 

그렇다면 이렇게 서비스 오류가 발생하는 초코플레이어(ChocoPlayer)를 계속 사용하여도 특별히 문제가 없는지 살펴보도록 하겠습니다.

 

  <아주경제> '초코플레이어' 등 국산 애드웨어, 메모리 해킹용 악성파일 무차별 유포중 (2014.1.15)

 

  만화 뷰어 프로그램을 이용한 인터넷뱅킹 악성코드 유포 사례 (2014.1.20)

 

현재 알려진 최근 정보에 따르면 초코플레이어(ChocoPlayer) 서버가 해킹되어 악성 파일이 등록되어 다양한 경로를 통해 유포가 이루어지고 있다는 정보가 공개되어 있습니다.

 

  1. 2014년 1월 10일 : h**p://www.chocoplayer.com/board/data/php/lg1.exe (SHA-1 : 07a3a222494221b70be4255902dd6916cd159843) - AhnLab V3 : Trojan/Win32.Hupe (VT : 36/48)
  2. 2014년 1월 11일 : h**p://www.chocoplayer.com/board/data/php/lg.exe (SHA-1 : 2c513af1758b5257e82570e50c3488e44a98a992) - nProtect : Trojan/W32.KRBanker.334638 (VT : 36/47)
  3. 2014년 3월 1일 : h**p://chocoplayer.com/tc/attach/t.exe

실제 초코플레이어(ChocoPlayer) 서버에서 확인된 악성 파일은 최근까지 꾸준하게 유포지로 사용되었으며, 이를 통해 초코플레이어(ChocoPlayer) 업데이트, 다른 광고 프로그램의 업데이트, 변조된 웹 사이트를 통한 Drive-By Download 기능을 통해 자동으로 감염될 가능성이 존재합니다.

특히 사용자가 자동 업데이트 설정을 변경할 목적으로 기본값(실행할 때 마다)에서 "업데이트 안 함"으로 변경한 후에도 초코플레이어(ChocoPlayer) 프로그램을 실행하면 서버와 통신을 하는 문제를 발견할 수 있습니다.

그러므로 자동 업데이트 기능이 존재하면서 더 이상의 서비스를 제공하지 않는 초코플레이어(ChocoPlayer)은 차후 언제든지 악성코드 유포 통로로 악용될 수가 있으므로 삭제를 하시고 다른 동영상 플레이어를 사용하시길 권장합니다.

728x90
반응형