예전부터 다양한 유포 경로를 통해 스타크래프트(StarCraft) 립버전을 다운로드하여 설치하는 과정에서 사용자의 부주의에 의해 국내 광고 프로그램 다수가 함께 설치되는 사례가 보고되고 있었습니다.
이번에 대표적인 "툴뭉도우미 스타크래프트(StarCraft) 립버전"을 이용하여 어떤 방식으로 설치를 유도하는지에 대해 자세하게 살펴보도록 하겠습니다.
특정 블로그에 게시된 스타크래프트(StarCraft) 다운로드 링크를 통해 대용량의 실행 파일을 다운로드하는 사례를 확인할 수 있습니다.
- h**p://www.play***.com:8080/StarCraft.exe (SHA-1 : 7FE6B394843CFD4646A31549B140B978672D15F9)
- h**p://www.open****.co.kr:8080/StarCraft.exe (SHA-1 : 7FE6B394843CFD4646A31549B140B978672D15F9)
게시된 다운로드 링크는 PC를 웹 서버로 운영할 수 있는 Berryz WebShare 서비스를 이용하여 오픈되어 있으며, 정황 증거를 수집해 봐서는 국내 광고업체와 연관되어 운영되고 있는 것이 아닌가 의심이 됩니다.
다운로드된 StarCraft.exe 파일(스타크래프트 1.16.1 립버전)은 141MB의 대용량 파일로 제작되어 있으며, 이로 인하여 안티 바이러스(Anti-Virus) 제품에서는 검사가 제대로 이루어지지 않을 가능성이 있습니다.
파일을 실행하면 첫 화면에는 툴뭉도우미 배포 웹 사이트에 대한 홍보 화면이 노출되며, 확인된 2개의 파일 다운로드 URL 주소 기준으로 툴뭉도우미는 2011년경부터 현재까지 상당 기간 운영되고 있었던 것으로 보입니다.
다음 단계에서 제시되는 이용약관을 살펴보면 "스타크래프트 1.16.1 립버전 + 툴뭉도우미" 프로그램이 필수적으로 설치되며, 부가적으로 "프리배틀넷 레지스트리 브레인서버 피쉬서버" 프로그램이 설치될 수 있습니다.
특히 "프리배틀넷 레지스트리 브레인서버 피쉬서버"를 통해 추가적으로 설치될 수 있는 제휴 프로그램을 통해 다양한 광고 기능을 수행할 수 있다고 언급하고 있습니다.
다음 단계에서는 스타크래프트 1.16.1 립버전 설치에 포함된 필수 구성요소와 부가적으로 설치되는 "프리배틀넷 피쉬서버 브레인서버" 항목을 제시하고 있으며, 정상적으로 립버전을 이용하기 위해서는 모두 체크된 상태에서 설치를 진행해야 할 것으로 판단할 것입니다.
스타크래프트 1.16.1 립버전이 설치 완료된 화면과 함께 자동으로 "프리배틀넷 레지스트리" 파일 다운로드 창이 생성되며, 화면 하단에는 "프로그램 추가 설치 안내"를 통해 다수의 제휴 프로그램이 일괄 설치되도록 체크되어 있습니다.
자세하게 이 부분에 대해 살펴보면 프로그램 설치 과정에서 StarCraft.exe 실행 파일 내부에 존재하던 프리배틀넷레지스트리를추가하시겠습니까.zip.exe 파일<SHA-1 : cf17f0e087210bd8c6bee5557fe261de4f8dd350 - AhnLab V3 : PUP/Win32.Downloader.C164704 (VT : 36/54)>이 "C:\Users\(사용자 계정)\AppData\Local\Temp\프리배틀넷레지스트리를추가하시겠습니까.zip.exe" 파일로 생성 및 실행되어 파일 다운로드 창을 생성합니다.
프리배틀넷레지스트리를추가하시겠습니까.zip.exe 파일은 "Meta7 Module" 파일 속성값을 가지고 있으며, 워핑(WerPing) 또는 탑클릭(TopClick) 광고 프로그램에서 확인되었던 ArthanSoft 디지털 서명이 포함되어 있습니다.
안랩 클라우드(AhnLab Cloud) 정보를 통해 확인해보면 2013년 4월 21일경부터 유포가 확인되고 있는 파일입니다.
프리배틀넷레지스트리를추가하시겠습니까.zip.exe 파일 실행을 통해 특정 파일 서버에 등록된 제휴 프로그램 정보를 체크하며, 제시된 이용약관은 실제 다운로드되는 제휴 프로그램의 내용과 일치하지 않는 허위 이용약관으로 확인되고 있습니다.
테스트 당시에 다운로드 가능한 제휴 프로그램에 대한 정보는 다음과 같으며, 특히 일부 광고 프로그램은 제어판을 통한 삭제를 지원하지 않는 문제로 설치된 경우 상당한 불편을 유발할 수 있습니다.
(1) 송플(Songple) 음악 플레이어를 이용한 "Songple Tabs" 광고 기능 주의 (2014.6.29)
- h**p://down.song***.com/setup_hsong_h.exe (SHA-1 : 1467e40450cc8d918b41bdafb9681c5609037a58) - BitDefender : Gen:Variant.Adware.Strictor.45952 (VT : 23/54)
(2) 삭제를 방해하는 "Internet Explorer Distribution Of Earnings - ProVersion + Retain" 광고 프로그램 정보 (2014.5.21)
- h**p://www.mi***names.co.kr/download/App/2966/Translation.exe (SHA-1 : 0ea5afc99a63f5ede91106d09a867ba0586ecb77) - avast! : Win32:Adware-ADK [PUP] (VT : 12/53)
(3) Window for smart update 기능을 몰래 등록하는 SSI 프로그램 주의 (2014.1.5)
- h**p://down.***ssi.net/download/adInstall_ssi013.exe (SHA-1 : 55e11fa2da3c4751df54dd5ff856f6cbc628b591) - AhnLab V3 : PUP/Win32.UtilTop.R103394 (VT : 29/54)
(4) 검색 도우미 : WindowAdvertisement (2014.1.21)
- h**p://**search.or.kr/aaa/windowadvertisement_code42.exe (SHA-1 : acde106296a69b3c4bedc7a93d27a024c43aea7b) - AhnLab V3 : PUP/Win32.MulDrop.C257935 (VT : 28/53)
설치된 스타크래프트(StarCraft) 립버전을 실행하면 "C:\Program Files\StarCraft\Toolmoong.exe" 파일이 실행되어 툴뭉도우미 창이 생성되어 게임 실행 및 추가적인 모바일 앱 광고창 생성 등의 동작을 수행할 수 있습니다.
특히 Toolmoong.exe 파일<SHA-1 : bc73ec9184d93ae6190c859de5735a57b55b0ba1 - Symantec : W32.Virut.CF (VT : 24/54)>은 제작 PC 환경이 바이러스(Virus) 감염에 노출된 적이 있었던 것으로 추정되고 있습니다.(※ 참고로 해당 파일 실행으로 Virut 바이러스에 추가적으로 감염되지는 않습니다.)
그러므로 블로그 또는 파일 공유 사이트를 통해 배포되는 스타크래프트(StarCraft) 립버전을 함부로 다운로드하여 설치하는 과정에서 다양한 광고 프로그램 설치에 노출될 수 있으며, 설치된 프로그램 자체에 바이러스 감염에 노출될 수 있는 문제도 있으므로 이용하지 않도록 주의하시기 바랍니다.