국내 광고 프로그램 배포 방식 중 가장 대표적인 스팸(Spam) 블로그에 게시된 단축 URL 주소(me2.do)를 이용한 파일 다운로드 방식이 이유를 알 수 없는 변화가 이루어진 부분이 확인되어 살펴보도록 하겠습니다.
예를 들어 특정 다음(Daum) 블로그에 게시된 AVG 무료 백신 관련 게시글에 포함된 ZIP 압축 파일처럼 사용자를 속이는 파일 다운로드 링크를 확인할 수 있습니다.
해당 다운로드 링크 주소를 확인해보니 매우 많이 발견되는 me2.do 단축 URL 주소를 이용한 방식임을 알 수 있습니다.
Internet Explorer 11 버전을 이용하여 다운로드 링크를 클릭할 경우 파일 다운로드가 이루어지는 것이 아닌 네이버 소프트웨어(Naver Software) 자료실에 등록된 "AVG 안티바이러스 Free 2014" 게시글로 자동 이동되는 것을 확인할 수 있습니다.
- h**p://me2.do/*******
- <리다이렉트> h**p://www.util***.com/activeDown/E29898
- <리다이렉트> h**p://software.naver.com/software/summary.nhn?softwareId=MFS_104593
해당 연결 과정을 살펴보면 me2.do 단축 URL 주소는 광고 배포 업체에서 운영하는 파일 자료실 서버로 연결이 이루어지며 파일 다운로드 대신에 네이버 소프트웨어(Naver Software) 자료실로 연결하고 있습니다.
- h**p://me2.do/*******
- <리다이렉트> h**p://www.util***.com/activeDown/E29898 :: avg_free_all_2805.exe 파일 다운로드 성공
Internet Explorer 11 버전에서 이상한 연결이 이루어지는 것에 의문을 품고 Internet Explorer 8, Internet Explorer 10 버전을 이용하여 동일하게 me2.do 단축 URL 주소를 클릭해 보았는데 정상적으로 avg_free_all_2805.exe 파일<SHA-1 : b40db7442ad438dda693cca514fc0c6ffd60fddd - AhnLab V3 : PUP/Win32.UtilTop.R66815 (VT : 10/55)>을 다운로드하는 동작을 확인할 수 있습니다.
관련 연결 정보를 살펴보면 파일 자료실 서버에서 접속자의 웹 브라우저를 체크하여 위와 같은 차이가 발생하는 것으로 추정할 수 있습니다.
- h**p://me2.do/*******
- <리다이렉트> h**p://www.util***.com/activeDown/E29898
- <리다이렉트> h**p://www.win****.co.kr/idown.asp?pcode=1002&seq=29898
- <리다이렉트> h**p://www.win****.co.kr/dn.asp?pcode=1002&seq=29898 :: avg_free_all_2805.exe 파일 다운로드 성공
이번에는 구글 크롬(Google Chrome) 웹 브라우저를 이용하여 동일한 방식으로 다운로드를 진행해보면 Internet Explorer 웹 브라우저와는 다르게 파일 자료실 서버에서 웹 브라우저 체크를 통해 또 다른 URL 값을 가지는 파일 자료실로 연결하여 파일 다운로드를 진행하는 동작을 확인할 수 있었습니다.
어떤 이유로 Internet Explorer 최신 버전 환경에서는 배포 파일 다운로드를 하지 않도록 변경하였는지 알 수 없지만 사용자 PC 환경 조건에 따라 파일 다운로드 성공 여부가 달라질 수 있다는 점을 확인하였습니다.
참고로 블로그를 통해 유포되는 AVG 무료 백신 설치 파일로 위장한 avg_free_all_2805.exe 파일은 "POSTMEDIA Co.,Ltd" 디지털 서명이 포함된 UtilTop 광고 프로그램 배포 파일입니다.
다운로드된 파일을 실행할 경우 파일 다운로드 창 생성을 통해 매우 작은 영역에 포함된 22종의 다양한 제휴 프로그램을 자동으로 설치할 수 있으며, 설치된 광고 프로그램은 또 다른 광고 프로그램 설치를 유도하는 등 정상적인 PC 사용에 심각한 불편을 유발하므로 실행하지 않도록 각별히 주의하시기 바랍니다.