울지않는벌새 : Security, Movie & Society

mp3 파일로 위장한 asf 파일 재생시 애드웨어(Adware) 다운로드 주의 (2014.6.15)

벌새::Analysis

오늘 이메일을 통해 해외 사이트에서 mp3 파일을 다운로드했는데 수상한 동작이 있다는 내용의 문의를 받아서 제공받은 mp3 확장자를 가진 파일을 살펴보았습니다.

 

제공받은 Ellie Goulding - Burn {2013-Single}.mp3 파일<SHA-1 : 25d537bb8014120bee0b3eb59720ec1d7d5bae9e - avast! : WMA:Wimad [Drp] (VT : 7/54)>은 7.75MB 용량을 가지고 있으며, 일반적인 음악 재생 프로그램(※ 예시 : 알송(ALSong))을 통해 재생을 할 경우에는 재생 시간이 3분 35초로 표시되어 있습니다.

 

하지만 실제 재생시에는 여성의 목소리로 "You need webXvid codec to play this music track. Free download available in the readme file"이라는 문장만을 7초 가량 읽는 것 외에는 없습니다.

그래서 문제의 mp3 파일을 살펴보면 실제 재생 시간은 7초 분량이며 Windows Media 포맷(wmv, wma, asf)을 가진 파일임을 알 수 있으며, 실제로는 asf 파일 형식이지만 mp3처럼 용량을 늘려서 사용자를 속이고 있는 파일입니다.

더 자세하게 파일 내부를 살펴보면 총 재생 시간은 10초 중 여성 사운드는 7초로 제작되어 있으며 나머지 3초는 특정 동작을 할 수 있습니다.

문제의 동작 부분을 살펴보면 여성 사운드 재생 후 9초 경과시 추가된 스크립트 명령어를 통해 웹 브라우저를 자동으로 오픈하여 특정 웹 사이트로 연결하도록 되어 있습니다.

동적 분석을 통해 확인해보면 사용자가 Ellie Goulding - Burn {2013-Single}.mp3 파일을 Windows Media Player로 재생할 경우 그림과 같이 7초 분량의 여성 사운드가 재생됩니다.

이후 자동으로 웹 브라우저를 오픈하여 "Online Movie Player" 웹 페이지로 연결된 후 몇 초 분량의 영화 시작 장면이 재생된 후 "Playback error" 메시지 창을 생성하여 자동으로 코덱(Codec) 관련 파일을 다운로드 시도합니다.

  • codec-setup-156.exe (SHA-1 : 1bba4eb8d9a0aa242dc95fc260bff0c4a72b01f6) - Avira : Adware/Adload.ldm (VT : 5/54)
  • codec-setup-158.exe (SHA-1 : b12802af810e76380427178109258e8a8675d5de) - ESET : NSIS/TrojanDownloader.Adload.R (VT : 4/54)
  • codec-setup-159.exe (SHA-1 : 3827044dbba3ab4b409d2233e7cb4c6120bdeaab) - Avira : Adware/Adload.ldm (VT : 4/54)
  • codec-setup-1513.exe (SHA-1 : afa54b06c14858b37d104e499803e3d6644aa5c4) - ESET : NSIS/TrojanDownloader.Adload.R (VT : 5/54)

다운로드되는 파일은 특정 시간대마다 파일명과 Hash값이 변경되는 서버 사이드 폴리모픽(Server Side Polymorphic) 기법으로 배포되는 것으로 보입니다.

 

위와 같은 형태는 동영상 재생을 위해서 다운로드되는 코덱(Codec)을 설치해야지 볼 수 있다는 허위 정보를 통해 다양한 애드웨어(Adware) 및 불필요한 프로그램(PUP)을 유포 방식으로 볼 수 있습니다.

다운로드된 WebXvid 코덱 파일을 실행하면 아무런 정보없이 Install 버튼을 통해 추가적인 다운로드를 유도하는 것을 확인할 수 있었으며, 테스트 당시에는 정상적으로 다운로드는 이루어지지 않고 있었습니다.

 

만약 정상적으로 다운로드가 이루어진다면 다음과 같은 8종의 해외 광고 프로그램이 함께 설치될 수 있습니다.

  • WebXvid_Setup.exe (SHA-1 : c15ee6ad95f2da341b4b2cb519f8a180f3b46364) - AhnLab V3 : PUP/Win32.OptimumInstaller.R109523 (VT : 19/54)
  • setup.exe (SHA-1 : 3e1d329b114babb1cc9f91161d1d189b38b357ed) - ESET : Win32/OutBrowse.V (VT : 10/54)
  • Setup__2140_il6256205.exe (SHA-1 : f6a3cb93ed83b9e9e69d1088d0dbf4c28d71389a) - AhnLab V3 : PUP/Win32.Amonetiz.R95935 (VT : 12/54)
  • WebXvid.exe (SHA-1 : 1d3978353f9b0683b635b92f49f5584abdc7af4d) - ESET : a variant of Win32/KBM.A (VT : 10/54)
  • WebXvid provided through C4DL Media.exe (SHA-1 : 270dbe7555c4d05856a10369759ec30b2c0027d5) - avast! : Win32:Adware-BRN [PUP] (VT : 8/54)
  • webXvid_3.60.exe (SHA-1 : 5bf528f57aba0fc186003046b698fa7cfee6e2e9) - AhnLab V3 : Adware/Win32.Lollipop.R94121 (VT : 10/54)
  • WebXvid_downloader-bLhF531R.exe (SHA-1 : e8fbdbf1c1e2a60ff6e05c11937042860ffa9934) - Kaspersky : not-a-virus:AdWare.Win32.Agent.allm (VT : 5/54)
  • webXvid_TSA34L2MF.exe (SHA-1 : afae87e5e44019ebcf292026568befda4c931e71) - ESET : a variant of Win32/Toolbar.Conduit.AB (VT : 12/54)

그러므로 해외 사이트 또는 토렌트(Torrent) 등을 통해 mp3 파일을 다운로드하는 경우에는 위와 유사한 방식으로 다양한 애드웨어(Adware)가 설치될 수 있으므로 각별히 주의하시기 바랍니다.