위험한 Media Player

해외에서 제작되어 유포 중인 3wPlayer 라는 미디어 플레이어가 있습니다.

Symantec - 3wPlayer 분석 내용 살펴보기

최근 네이버 지식인을 보던 중 어떤 분이 3wPlayer를 설치하였는데 프로그램이 동작하면 이상한 웹사이트로 이동을 시킨다는 글을 보고 해당 프로그램을 자세히 살펴보았습니다.

예전 제작사 홈페이지는 폐쇄되고 현재는 새로운 웹사이트를 만들어 배포하고 있는 것으로 보이며 특히 무료 미디어 플레이어를 내세워 사용자들에게 프로그램을 설치하게 유도하고 있습니다.

또한 홈페이지 하단의 문구를 보시면 돈벌이를 위한 제휴 사이트 링크가 존재합니다.

[3wPlayer 설치 파일]

Antivirus	Version	Last Update	Result
AhnLab-V3	2008.9.25.0	2008.09.25	-
AntiVir	7.8.1.34	2008.09.25	-
Authentium	5.1.0.4	2008.09.25	-
Avast	4.8.1195.0	2008.09.25	-
AVG	8.0.0.161	2008.09.25	-
BitDefender	7.2	2008.09.26	-
CAT-QuickHeal	9.50	2008.09.26	-
ClamAV	0.93.1	2008.09.26	-
DrWeb	4.44.0.09170	2008.09.26	-
eSafe	7.0.17.0	2008.09.25	-
eTrust-Vet	31.6.6108	2008.09.26	-
Ewido	4.0	2008.09.25	-
F-Prot	4.4.4.56	2008.09.25	-
F-Secure	8.0.14332.0	2008.09.26	-
Fortinet	3.113.0.0	2008.09.25	-
GData	19	2008.09.26	-
Ikarus	T3.1.1.34.0	2008.09.26	-
K7AntiVirus	7.10.473	2008.09.25	-
Kaspersky	7.0.0.125	2008.09.26	-
McAfee	5392	2008.09.25	-
Microsoft	1.3903	2008.09.26	-
NOD32	3472	2008.09.26	-
Norman	5.80.02	2008.09.25	-
Panda	9.0.0.4	2008.09.25	-
PCTools	4.4.2.0	2008.09.25	-
Prevx1	V2	2008.09.26	-
Rising	20.63.40.00	2008.09.26	-
Sophos	4.34.0	2008.09.26	-
Sunbelt	3.1.1668.1	2008.09.24	-
Symantec	10	2008.09.26	-
TheHacker	6.3.0.9.094	2008.09.25	-
TrendMicro	8.700.0.1004	2008.09.26	-
VBA32	3.12.8.6	2008.09.26	-
ViRobot	2008.9.26.1393	2008.09.26	-
VirusBuster	4.5.11.0	2008.09.25	-
Webwasher-Gateway	6.6.2	2008.09.25	-

Additional information
File size: 267336 bytes
MD5...: b6aaf441048c63432e811290f1d37ab7
SHA1..: 0465c03c85d46ba97eb6a76ff80b5a41daff4b8c

해당 프로그램이 위험한 이유 중의 하나는 실제 해당 웹 사이트에서 설치 파일을 다운로드하여 보안 제품으로 검사를 하면 악의적인 파일을 발견하지 않는다는 점입니다.

이제 실제로 3wPlayer 설치 파일을 이용하여 프로그램을 설치해 보도록 하겠습니다.

일반적인 프로그램 설치 화면과 동일하게 이용약관을 제공하고 있습니다. 하지만 그 다음 단계에서 필자의 보안 제품에서 트로이목마와 백도어를 진단하는 것을 확인할 수 있습니다.

[minime.exe]

Antivirus	Version	Last Update	Result
AhnLab-V3	2008.9.25.0	2008.09.25	-
AntiVir	7.8.1.34	2008.09.25	TR/Obfuscated.321024.5
Authentium	5.1.0.4	2008.09.25	-
Avast	4.8.1195.0	2008.09.25	-
AVG	8.0.0.161	2008.09.25	Downloader.Swizzor.A
BitDefender	7.2	2008.09.26	-
CAT-QuickHeal	9.50	2008.09.25	-
ClamAV	0.93.1	2008.09.26	-
DrWeb	4.44.0.09170	2008.09.26	-
eSafe	7.0.17.0	2008.09.25	-
eTrust-Vet	31.6.6105	2008.09.24	-
Ewido	4.0	2008.09.25	-
F-Prot	4.4.4.56	2008.09.25	-
F-Secure	8.0.14332.0	2008.09.26	Trojan.Win32.Obfuscated.gen
Fortinet	3.113.0.0	2008.09.25	-
GData	19	2008.09.26	-
Ikarus	T3.1.1.34.0	2008.09.26	Trojan.Swizzor.1
K7AntiVirus	7.10.473	2008.09.25	-
Kaspersky	7.0.0.125	2008.09.26	Trojan.Win32.Obfuscated.gen
McAfee	5392	2008.09.25	-
Microsoft	1.3903	2008.09.26	Trojan:Win32/C2Lop.gen!A
NOD32	3472	2008.09.26	-
Norman	5.80.02	2008.09.25	Swizzor.JY
Panda	9.0.0.4	2008.09.25	-
PCTools	4.4.2.0	2008.09.25	-
Prevx1	V2	2008.09.26	-
Rising	20.63.32.00	2008.09.25	-
Sophos	4.34.0	2008.09.26	-
Sunbelt	3.1.1668.1	2008.09.24	-
Symantec	10	2008.09.26	-
TheHacker	6.3.0.9.094	2008.09.25	-
TrendMicro	8.700.0.1004	2008.09.25	-
VBA32	3.12.8.6	2008.09.26	OScope.Trojan.BagsWay.C
ViRobot	2008.9.25.1392	2008.09.25	-
VirusBuster	4.5.11.0	2008.09.25	-
Webwasher-Gateway	6.6.2	2008.09.25	Trojan.Obfuscated.321024.5

Additional information
File size: 321024 bytes
MD5...: 123fa0211b3eb512cd0bed457cd90f1f
SHA1..: bd2ac100160d1498f1c6169f169ee32112dad63d

[PeerAxp.exe]

Antivirus	Version	Last Update	Result
AhnLab-V3	2008.9.25.0	2008.09.25	-
AntiVir	7.8.1.34	2008.09.25	BDS/Mayday.AA
Authentium	5.1.0.4	2008.09.25	-
Avast	4.8.1195.0	2008.09.25	Win32:Trojan-gen {Other}
AVG	8.0.0.161	2008.09.25	Generic11.AEDG
BitDefender	7.2	2008.09.26	-
CAT-QuickHeal	9.50	2008.09.25	-
ClamAV	0.93.1	2008.09.26	-
DrWeb	4.44.0.09170	2008.09.26	-
eSafe	7.0.17.0	2008.09.25	Win32.Mayday.aa
eTrust-Vet	31.6.6106	2008.09.25	-
Ewido	4.0	2008.09.25	-
F-Prot	4.4.4.56	2008.09.25	-
F-Secure	8.0.14332.0	2008.09.26	Backdoor.Win32.Mayday.aa
Fortinet	3.113.0.0	2008.09.25	PossibleThreat
GData	19	2008.09.26	Win32:Trojan-gen {Other}
Ikarus	T3.1.1.34.0	2008.09.26	-
K7AntiVirus	7.10.473	2008.09.25	-
Kaspersky	7.0.0.125	2008.09.26	Backdoor.Win32.Mayday.aa
McAfee	5392	2008.09.25	-
Microsoft	1.3903	2008.09.26	Backdoor:Win32/Mayday.A
NOD32	3472	2008.09.26	-
Norman	5.80.02	2008.09.25	W32/Malware.DYUC
Panda	9.0.0.4	2008.09.25	-
PCTools	4.4.2.0	2008.09.25	-
Prevx1	V2	2008.09.26	Cloaked Malware
Rising	20.63.32.00	2008.09.25	-
Sophos	4.34.0	2008.09.26	-
Sunbelt	3.1.1668.1	2008.09.24	-
Symantec	10	2008.09.26	-
TheHacker	6.3.0.9.094	2008.09.25	-
TrendMicro	8.700.0.1004	2008.09.25	-
VBA32	3.12.8.6	2008.09.26	-
ViRobot	2008.9.25.1392	2008.09.25	-
VirusBuster	4.5.11.0	2008.09.25	-
Webwasher-Gateway	6.6.2	2008.09.25	Trojan.Backdoor.Mayday.AA

Additional information
File size: 478720 bytes
MD5...: 0ebc31ffc97fd45d8ef7891fed7b89e3
SHA1..: ded28acd6fd300eb8e32fe8e8a2c42ee3d10e173

설치 파일에서는 존재하지 않던 악성코드가 설치 과정에서 인터넷을 통해 추가적인 다운로드 방식으로 생성되는 것으로 보입니다.

그러면서 3wPlayer 유포자는 보안 제품에서 진단되는 것을 감안하여 위와 같은 안내를 하고 있습니다.

3wPlayer가 진단되는 이유는 프로그램 내부에 광고 관련 파일이 존재하기 때문이다. 그러므로 ad-free 버전의 DomPlayer를 핸드폰을 통해 결제하고 사용하여라.

위와 같이 처음 3wPlayer라는 무료 제품을 통해 사용자가 프로그램을 설치하게 만들고 그 속에 악의적인 파일을 생성시켜 결국 유료 제품을 구입하도록 하는 상술입니다.

특히 해당 유료 제품인 DomPlayer를 구매하지 않더라도 이미 설치 과정에서 생성된 트로이목마와 백도어는 사용자 컴퓨터를 감염시켜 원격 조정이나 기타 악의적인 동작을 유발할 수 있습니다.

DomPlayer 홈페이지 역시 하단에 돈벌이용 제휴 사이트 링크가 존재한 것을 확인할 수 있습니다. 즉 3wPlayer 유포자가 이 웹사이트 역시 운영 중인 것입니다.

DomPlayer의 설치 과벙에서는 위와 같이 결제를 유도하는 화면을 보실 수 있습니다. 아마 이 프로그램은 악의적인 파일을 추가하지 않은 것으로 보입니다.

결론적으로 3wPlayer는 무료 프로그램을 배포하는 척하면서 실제로는 악의적인 파일을 생성시켜 유료 프로그램으로 전환하게 만드는 수법으로 돈벌이를 하는 제품임을 아실 수 있습니다.

728x90

저작자표시 비영리 동일조건

울지않는벌새

위험한 Media Player - 3wPlayer

티스토리툴바