울지않는벌새 : Security, Movie & Society

커뮤니티 사이트의 자료실을 이용한 제휴 프로그램 배포 방식 (2014.8.11)

벌새::Analysis

국내 인터넷 사용자를 대상으로 커뮤니티 게시판 중심으로 운영하는 다○○ 사이트에 포함된 파일 자료실이 다수의 제휴 프로그램 설치를 유도하는 사례가 확인되어 살펴보도록 하겠습니다.

문제의 웹 사이트의 게시판 중 "자료실" 메뉴를 클릭할 경우 AhnLab V3 365 Clinic 보안 제품에서 "불필요한 사이트(PUS) 접근 차단" 창을 통해 자료실 접속을 차단하는 동작을 확인할 수 있습니다.

해당 웹 사이트 자체는 차단하지 않는 반면 자료실 게시판만을 차단하는 이유를 살펴보면 국내에서 제작된 다양한 광고 프로그램 배포 목적으로 운영되는 파일 자료실 형태를 발견할 수 있습니다.

참고로 자료실 게시판 접속시 파트너 URL 값을 이용하여 외부의 유틸바다(Utilbada) 웹 서버로 연결되는 것을 확인할 수 있습니다.

위와 같은 자료실 게시판에서는 인터넷 사용자들의 다운로드를 많이 유발하는 다수의 프로그램들이 등록되어 있으며, 테스트에서는 "패스타핑, 게임 및 웹 최적화" 프로그램을 다운로드하여 살펴보았습니다.

다운로드된 패스타핑 배포 파일<SHA-1 : 6128c655c903ca74dd18ba8663970f9458e4a5c3 - AhnLab V3 : PUP/Win32.MulDown.C203221 (VT : 27/54)>에는 raonmedia 디지털 서명이 포함되어 있으며, 이는 공식 제작사 파일이 아닌 국내 광고 업체에서 사용하는 전자 서명임을 알 수 있습니다.

다운로드된 패스타핑 배포 파일을 실행할 경우 특정 웹 서버에 등록된 구성값 정보를 체크하여 "유틸바다 다운로더"로 알려진 다음과 같은 다수의 제휴 프로그램이 숨어있는 다운로드 창을 생성합니다.

생성된 "무료 다운로드" 창을 확인해보면 우측 하단의 좁은 영역에 다수의 제휴 프로그램이 포함되어 있으며, 사용자가 체크 박스를 해제하지 않은 상태로 파일 전송을 시작할 경우 자동으로 설치됩니다.

 

(1) 쉐어박스 바로가기 아이콘 생성 프로그램 : sharebox_barcon 1.0

  • h**p://util****.com/down2/Ssetup.exe (SHA-1 : 6a388bd3c9c96447dbd527be4d78cc5e9e8515fa) - AVG : Generic.146 (VT : 5/53)

(2) 옥션 바로가기 아이콘 생성 프로그램 : Windows Desktop BT Icons Ver 5.1.1.4 (2014.2.15)

  • h**p://m.desk***.net/DWL/Install_neo1.exe (SHA-1 : 5807fb0a09cc8bfe82b58df7456c288d08e194fc) - AhnLab V3 : PUP/Win32.CloverPlus.C346702 (VT : 27/53)
  • h**p://m.**icons.com/fdwn/poten/install_poten1.exe (SHA-1 : dbf08f211c9f3260b3e945cf01d29f93550c3b1a) - Kaspersky : Trojan-Downloader.Win32.Genome.hrby (VT : 29/52)

(3) 검색 도우미 : AppIs(앱이즈) 1.0.4.2 (2014.1.13)

  • h**p://codebase.**od**mms.co.kr/codebase/websetup/appis/WSLzumin.exe (SHA-1 : e94166525d7e8309151918589f857f9e39d7e4f3) - AhnLab V3 : PUP/Win32.GoodComms.C164975 (VT : 2/53)
  • <추가 다운로드> h**p://codebase.**od**mms.co.kr/codebase/ISAppIs.exe (SHA-1 : d1ce341318bb2df22b2fbd4a8ad111af11baa4db) - AhnLab V3 : PUP/Win32.AppIs.R37962 (VT : 7/54)

(4) 검색 도우미 : Windows SmartWeb (2014.6.1)

  • h**p://sub.smart*.co.kr/opapp/raonmedia/app/download/smartweb_silent.exe (SHA-1 : cc59dae9542af411c0a5e72872cdadf49af8a6a2) - BitDefender : Gen:Variant.Adware.Symmi.36013 (VT : 28/54)

(5) 검색 도우미 : WindowAdvertisement (2014.1.21)

  • h**p://**search.or.kr/aaa/windowadvertisement_codenemo16.exe (SHA-1 : acde106296a69b3c4bedc7a93d27a024c43aea7b) - BitDefender : Gen:Variant.Kazy.338885 (VT : 29/54)

(6) 검색 도우미 : SearchLike (2013.10.1)

  • h**p://down.search****.co.kr/distribute/SLslenska/searchlike.exe (SHA-1 : 5d418a797282c4f0e9ebf6d547cc0856b7bd6de6) - Kaspersky : Trojan.Win32.Badur.fxba (VT : 38/54)

(7) 검색 도우미 : Searchline-nc (2013.12.24)

  • h**p://down.search-*****.co.kr/download/Searchline_nc_sline_green_hinst.exe (SHA-1 : de722b74486b6edc0c000545233aa300a99cf3a3) - Symantec : Adware.Revealing (VT : 31/53)

(8) 검색 도우미 : DreamPrime - ovidiucu (2014.6.26)

  • h**p://down.dre**prime.net/dreams10/DreamInst.exe (SHA-1 : 829e9183a950dd4da5ca38639a3ed208343773ed) - AhnLab V3 : PUP/Win32.SubShop.C290888 (VT : 2/54)

(9) 검색 도우미 : Micro theam secure softwear profile (2013.6.16)

  • h**p://www.**eam.co.kr/bin/tam_sbox.exe (SHA-1 : 5e2f30ab08b146aaf6b9b4541e03bf8b7508c766)

(10) Window for smart update 기능을 몰래 등록하는 SSI 프로그램 주의 (2014.1.5)

  • h**p://down.***ssi.net/download/adInstall_ssi015.exe (SHA-1 : 1a9de90caa5f61221bfcbe4f6c86a52f01520dc9) - Symantec : Trojan.ADH.2 (VT : 30/54)

(11) 검색 도우미 : WindowsOptimize (2014.5.3)

  • h**p://www.windows**timize.co.kr/wop/program/windowsoptimize/launcher/
    DNWindowsOptimaize.exe (SHA-1 : b0a66c254a847210389b96a9c33b663726ff7a3c) - BitDefender :
    Gen:Variant.Graftor.146082 (VT : 15/54)
  • <추가 다운로드> h**p://www.windows**timize.co.kr/wop/program/windowsoptimize/setup/
    WindowsOptimize_setup.exe (SHA-1 : be397a103fced07abfff1c2935da43d9fed62a20) - BitDefender :
    Trojan.GenericKD.1752018 (VT : 35/54)

(12) 삭제를 방해하는 "Internet Explorer Distribution Of Earnings - ProVersion + Retain" 광고 프로그램 정보 (2014.5.21)

  • h**p://www.micro**mes.co.kr/download/App/3219/Translation.exe (SHA-1 : c7772b93f34d381f0271fb7bfd29156b2df9b5c0) - avast! : Win32:Adware-ADK [PUP] (VT : 8/52)

(13) 검색 도우미 : Micro OpenPop (2013.12.26)

  • h**p://down.micro****pop.com/app/pn/mopop_p08_inst.exe (SHA-1 : 03206baa189b4ed99541c42c2ed081b6cfc2bc93) - BitDefender : Dropped:Trojan.GenericKD.1631733 (VT : 34/54)

(14) 홈케어(HomeCare) 유해 사이트 차단 프로그램에 포함된 광고 기능 주의 (2014.4.12)

  • h**p://home****system.kr/app/1.0/install/HC_Setup_Site_PID_08.exe (SHA-1 : 544aaaf417c325e0c2680497ffa32049737c9259) - avast! : Win32:Adware-AZC [Adw] (VT : 15/54)

(15) 검색 도우미 : Windows Internet Explorer KoreanKeyword V.2.2.1.1 (2012.10.16)

  • h**p://app.korean***word.com/INST/C407A/KKW1V51.exe (SHA-1 : e513b5e92a3f1452794d7600965a56a2e752df19) - AhnLab V3 : PUP/Win32.WinKeyword.C223736 (VT : 23/53)

(16) 포커스온 이미지 뷰어에 포함된 MediaUpdate 광고 기능 주의 (2014.4.23)

  • h**p://update.med**update.co.kr/ext/FocusOnIV_MediaUpdate.03.exe (SHA-1 : e59a86caf33e86380abaf9558b9c678c681388f9)

(17) 검색 도우미 : NaviPop

  • h**p://svc.navi***.co.kr/launcher/inst_launcher_navipop002.exe (SHA-1 : a0c82dedb7a0c821cfcba1008dd6afcc2a171365)
  • <추가 다운로드> h**p://svc.navi***.co.kr/spdf/check_nvpu.exe (SHA-1 : f094c6afbc5699640bbe9f9984942d1f19e5de34) - AhnLab V3 : PUP/Win32.WinScare.R40434 (VT : 3/54)

(18) 검색 도우미 : T-Con

  • h**p://sv1.*con.kr/pullzip/setup_pullzip.exe (SHA-1 : 57aab6b57a2ead215ed0635d58ae89f0913222fe)

위와 같은 다운로드 과정에서 사용자의 부주의로 인해 설치되는 다수의 제휴 프로그램이 설치되지 않도록 하기 위해서는 사용자들이 블로그 첨부 파일, 링크, 신뢰할 수 없는 파일 자료실 등을 이용하지 않는 것이 최선의 예방책입니다.

 

또한 국내 무료 백신에서는 불필요한 프로그램(PUP/PUA) 및 웹 서버 차단 기능을 제공하지 않으므로 보안 제품을 통해 시스템을 보호하기 위해서는 국내 유료 보안 제품 또는 해외 유/무료 보안 제품을 이용하시길 권장합니다.