본문 바로가기

벌새::Analysis

국내 애드웨어(Adware) 유포의 방식 : Win-Adware/AdultPack.314930

국내 모 웹사이트를 통해 금전적 이윤을 목적으로 만들어진 애드웨어(Adware) 유포 방식의 한 예를 살펴보겠습니다.

해당 웹사이트는 생성된지 개인적인 기억으로는 1년이 훨씬 넘은 승차권 예매 관련 사이트로 실제 해당 사이트는 정식 서비스 웹사이트에서 제공하는 곳이 아닌 특정 개인이 만들어 놓은 사이트로 추정됩니다.

해당 사이트에 접속을 하시면 우측 하단에 움직이는 광고 배너창이 솟아오르면서 자극적인 문구로 클릭을 유도하고 있습니다.

해당 광고를 클릭하면 위와 같이 Daum팟에서 제공하는 동영상 형태의 웹 페이지가 생성되고 해당 동영상을 감상하기 위해 클릭을 하면 실제로는 동영상이 아닌 특정 웹사이트로 이동을 합니다.

사용자가 동영상 감상을 위해 클릭하였는데 위와 같은 안내 문구를 통해 동영상이 나오지 않는다면 동영상 재생기를 다운로드하여 실행하라는 글과 함께 링크가 삽입되어 있습니다.

해당 동영상 재생기 다운로드 파일명은 [국내 5개 서버 통합 공유자료.exe] 파일이라는 명칭으로 설치 파일을 제공하고 있습니다.

[국내 5개 서버 통합 공유자료.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.10.3.2 2008.10.03 (SpyZero) Win-Adware/AdultPack.314930
AntiVir 7.8.1.34 2008.10.02 -
Authentium 5.1.0.4 2008.10.03 -
Avast 4.8.1248.0 2008.10.03 Win32:Adware-gen
AVG 8.0.0.161 2008.10.03 -
BitDefender 7.2 2008.10.03 -
CAT-QuickHeal 9.50 2008.10.03 -
ClamAV 0.93.1 2008.10.02 -
DrWeb 4.44.0.09170 2008.10.03 -
eSafe 7.0.17.0 2008.10.02 Suspicious File
eTrust-Vet 31.6.6127 2008.10.03 -
Ewido 4.0 2008.10.03 -
F-Prot 4.4.4.56 2008.10.03 -
F-Secure 8.0.14332.0 2008.10.03 Client-P2P.Win32.p2pshare.a
Fortinet 3.113.0.0 2008.10.03 -
GData 19 2008.10.03 Win32:Adware-gen
Ikarus T3.1.1.34.0 2008.10.03 -
K7AntiVirus 7.10.483 2008.10.03 -
Kaspersky 7.0.0.125 2008.10.03 not-a-virus:Client-P2P.Win32.p2pshare.a
McAfee 5397 2008.10.02 -
Microsoft 1.4005 2008.10.03 -
NOD32 3493 2008.10.03 -
Norman 5.80.02 2008.10.02 -
Panda 9.0.0.4 2008.10.03 -
PCTools 4.4.2.0 2008.10.03 -
Prevx1 V2 2008.10.03 Suspicious
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.03 -
Sophos 4.34.0 2008.10.03 -
Sunbelt 3.1.1668.1 2008.09.24 -
Symantec 10 2008.10.03 -
TheHacker 6.3.1.0.099 2008.10.03 -
TrendMicro 8.700.0.1004 2008.10.03 -
VBA32 3.12.8.6 2008.10.02 -
ViRobot 2008.10.3.1405 2008.10.03 -
VirusBuster 4.5.11.0 2008.10.02 -
Additional information
File size: 210100 bytes
MD5...: f6caffeed473276e7cd833f82d12f0b3
SHA1..: ecd74cf4568d7a8b810f5f9f9ae6cd1bbb257059

참고 : 안철수연구소 분석 자료 살펴보기

해당 실행 파일을 실제 실행하여 어떤 내용으로 구성되어 있는지 확인해 보았습니다.

설치된 폴더와 파일 정보는 [Program Files - total_webhard] 폴더에 파일을 생성하며 몇 가지 바로가기를 제공하고 있습니다.

해당 통합 웹하드 공유 프로그램이 설치되면 [개인정보 유출방지, 미팅 만남, 웹하드 공유 자료실, 통합 웹하드] 바로가기 생성되어 해당 서비스를 이용하도록 유도하고 있습니다.

[개인정보 유출방지] 서비스는 국내에서 서비스 중인 명의도용 검색 프로그램 IDChecker를 설치하도록 유도하고 있습니다.

위와 같은 사이트에서 실제 명의도용을 하여 검색을 하고 해당 프로그램을 설치하면 설치를 유도(광고)한 회원에게 설치당 일정 금액을 지불하는 방식이 아닐까 생각됩니다.

[미팅 만남, 웹하드 공유 자료실]은 위의 성인 인증을 요구하는 웹사이트에서 서비스하는 곳에 가입을 유도하고 있습니다.

[통합 웹하드]는 제트파일이라는 웹 공유 서비스로 유도하여 해당 업체에서 제공하는 각종 저작권 침해 자료를 결제를 통해 다운로드 하도록 하고 있습니다.

이런 프로그램을 접하는 사용자는 명심할 부분이 이런 통합된 파일로 제작된 것은 오직 해당 파일 제작자의 금전적 취득을 목적으로 한 부분이라는 것입니다. 특히 신뢰받을 수 없는 서비스를 이용하기 위해 결제를 하고 나중에 자동 연장 결제 약관으로 더욱 고생하는 일이 없도록 조심하셔야 합니다.

최근 해외에서는 특정 파일을 설치하게 하여 허위 보안 제품을 결제하도록 유도하는 수법이 유행이라면 국내의 경우는 허위 보안 제품은 다소 시들해지면서 파일 공유 프로그램을 통한 특정 서비스 이용과 함께 자동 연장 결제라는 함정으로 이용자에게 금전적 피해를 주는 사례가 많다고 개인적으로 판단합니다.

참고로 위에서 소개한 서비스가 악의적인 서비스인지는 개인이 판단하시기 바랍니다.
  • 흐미 2009.02.15 09:51 댓글주소 수정/삭제 댓글쓰기

    근데 제트파일이 정상적인 웹하드인데요?
    제트파일 정액제는 매달 돈내고 쓰는 사람도 많은데요?
    저작권은 그 웹하드 업체가 알아서 할 문제겠죠..

    • 제가 봐서는 특정 제트파일 아이디 소유자 또는 해당 업체 관계자가 저런 방식을 이용해서 서비스를 이용하게 하거나 자신을 추천인으로 등록하게 하는 방식이 아닐까 생각합니다.

      서비스 자체에는 문제가 없겠죠~