국내 애드웨어(Adware) 유포의 방식 : Win-Adware/AdultPack.314930

국내 모 웹사이트를 통해 금전적 이윤을 목적으로 만들어진 애드웨어(Adware) 유포 방식의 한 예를 살펴보겠습니다.

해당 웹사이트는 생성된지 개인적인 기억으로는 1년이 훨씬 넘은 승차권 예매 관련 사이트로 실제 해당 사이트는 정식 서비스 웹사이트에서 제공하는 곳이 아닌 특정 개인이 만들어 놓은 사이트로 추정됩니다.

해당 사이트에 접속을 하시면 우측 하단에 움직이는 광고 배너창이 솟아오르면서 자극적인 문구로 클릭을 유도하고 있습니다.

해당 광고를 클릭하면 위와 같이 Daum팟에서 제공하는 동영상 형태의 웹 페이지가 생성되고 해당 동영상을 감상하기 위해 클릭을 하면 실제로는 동영상이 아닌 특정 웹사이트로 이동을 합니다.

사용자가 동영상 감상을 위해 클릭하였는데 위와 같은 안내 문구를 통해 동영상이 나오지 않는다면 동영상 재생기를 다운로드하여 실행하라는 글과 함께 링크가 삽입되어 있습니다.

해당 동영상 재생기 다운로드 파일명은 [국내 5개 서버 통합 공유자료.exe] 파일이라는 명칭으로 설치 파일을 제공하고 있습니다.

[국내 5개 서버 통합 공유자료.exe]

Antivirus	Version	Last Update	Result
AhnLab-V3	2008.10.3.2	2008.10.03	(SpyZero) Win-Adware/AdultPack.314930
AntiVir	7.8.1.34	2008.10.02	-
Authentium	5.1.0.4	2008.10.03	-
Avast	4.8.1248.0	2008.10.03	Win32:Adware-gen
AVG	8.0.0.161	2008.10.03	-
BitDefender	7.2	2008.10.03	-
CAT-QuickHeal	9.50	2008.10.03	-
ClamAV	0.93.1	2008.10.02	-
DrWeb	4.44.0.09170	2008.10.03	-
eSafe	7.0.17.0	2008.10.02	Suspicious File
eTrust-Vet	31.6.6127	2008.10.03	-
Ewido	4.0	2008.10.03	-
F-Prot	4.4.4.56	2008.10.03	-
F-Secure	8.0.14332.0	2008.10.03	Client-P2P.Win32.p2pshare.a
Fortinet	3.113.0.0	2008.10.03	-
GData	19	2008.10.03	Win32:Adware-gen
Ikarus	T3.1.1.34.0	2008.10.03	-
K7AntiVirus	7.10.483	2008.10.03	-
Kaspersky	7.0.0.125	2008.10.03	not-a-virus:Client-P2P.Win32.p2pshare.a
McAfee	5397	2008.10.02	-
Microsoft	1.4005	2008.10.03	-
NOD32	3493	2008.10.03	-
Norman	5.80.02	2008.10.02	-
Panda	9.0.0.4	2008.10.03	-
PCTools	4.4.2.0	2008.10.03	-
Prevx1	V2	2008.10.03	Suspicious
Rising	20.63.62.00	2008.09.28	-
SecureWeb-Gateway	6.7.6	2008.10.03	-
Sophos	4.34.0	2008.10.03	-
Sunbelt	3.1.1668.1	2008.09.24	-
Symantec	10	2008.10.03	-
TheHacker	6.3.1.0.099	2008.10.03	-
TrendMicro	8.700.0.1004	2008.10.03	-
VBA32	3.12.8.6	2008.10.02	-
ViRobot	2008.10.3.1405	2008.10.03	-
VirusBuster	4.5.11.0	2008.10.02	-
Additional information
File size: 210100 bytes
MD5...: f6caffeed473276e7cd833f82d12f0b3
SHA1..: ecd74cf4568d7a8b810f5f9f9ae6cd1bbb257059

참고 : 안철수연구소 분석 자료 살펴보기

해당 실행 파일을 실제 실행하여 어떤 내용으로 구성되어 있는지 확인해 보았습니다.

설치된 폴더와 파일 정보는 [Program Files - total_webhard] 폴더에 파일을 생성하며 몇 가지 바로가기를 제공하고 있습니다.

해당 통합 웹하드 공유 프로그램이 설치되면 [개인정보 유출방지, 미팅 만남, 웹하드 공유 자료실, 통합 웹하드] 바로가기 생성되어 해당 서비스를 이용하도록 유도하고 있습니다.

[개인정보 유출방지] 서비스는 국내에서 서비스 중인 명의도용 검색 프로그램 IDChecker를 설치하도록 유도하고 있습니다.

위와 같은 사이트에서 실제 명의도용을 하여 검색을 하고 해당 프로그램을 설치하면 설치를 유도(광고)한 회원에게 설치당 일정 금액을 지불하는 방식이 아닐까 생각됩니다.

[미팅 만남, 웹하드 공유 자료실]은 위의 성인 인증을 요구하는 웹사이트에서 서비스하는 곳에 가입을 유도하고 있습니다.

[통합 웹하드]는 제트파일이라는 웹 공유 서비스로 유도하여 해당 업체에서 제공하는 각종 저작권 침해 자료를 결제를 통해 다운로드 하도록 하고 있습니다.

이런 프로그램을 접하는 사용자는 명심할 부분이 이런 통합된 파일로 제작된 것은 오직 해당 파일 제작자의 금전적 취득을 목적으로 한 부분이라는 것입니다. 특히 신뢰받을 수 없는 서비스를 이용하기 위해 결제를 하고 나중에 자동 연장 결제 약관으로 더욱 고생하는 일이 없도록 조심하셔야 합니다.

최근 해외에서는 특정 파일을 설치하게 하여 허위 보안 제품을 결제하도록 유도하는 수법이 유행이라면 국내의 경우는 허위 보안 제품은 다소 시들해지면서 파일 공유 프로그램을 통한 특정 서비스 이용과 함께 자동 연장 결제라는 함정으로 이용자에게 금전적 피해를 주는 사례가 많다고 개인적으로 판단합니다.

참고로 위에서 소개한 서비스가 악의적인 서비스인지는 개인이 판단하시기 바랍니다.