본문 바로가기

벌새::Analysis

VMware 유사 아이콘으로 위장한 1회성 검색 애드웨어 유포 사례 (2014.9.26)

최근 광고 프로그램 배포 목적으로 운영되는 파일 다운로드 창에 포함된 제휴 프로그램 중에서 "윈 검색도우미" 이름의 광고 프로그램이 1회 동작을 목적으로 다운로드 및 실행되는 사례를 확인하였습니다.

확인된 배포지는 이**파일(e****file) 자료실에서 배포하는 DownloadController 창에 포함된 다수의 권장 프로그램 중에 포함되어 있었으며, 현재는 AhnLab V3 보안 제품의 애드웨어(Adware) 진단으로 인해 배포가 중지된 것으로 추정됩니다.

다운로드된 파일은 VMware 가상화 프로그램에서 사용하는 아이콘과 매우 유사하며 2014년 9월 21일 오전 10시경부터 다운로드가 확인되고 있습니다.(※ 일반적으로 일요일에는 새롭게 추가되는 광고 프로그램이 없다는 점과 클라우드 평판 정보가 신뢰로 등록되어 있다는 점에서 냄새가 납니다.)

  • h**p://down.e****file.com/****/adw01.exe (SHA-1 : 4b89e8580a6c100847b952ec3f979fc65c51bd5d) - AhnLab V3 : Adware/Win32.Clicker.C571438 (VT : 4/54)

다운로드된 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\adw01.exe" 파일 형태로 생성 및 실행되었을 것으로 추정되며 실행된 파일은 다음과 같은 동작을 백그라운드 방식으로 수행할 수 있습니다.

  • kjr****.cafe24.com
  • ad1213.anni**.pe.kr
  • mcpro7.anni**.pe.kr
  • newsad.anni**.pe.kr
  • zzang**.co.kr

우선 Cafe24 웹 호스팅 서비스에 등록된 특정 광고 게시판에 다수의 URL 값을 기반으로 접속할 수 있습니다.

이후 다양한 웹 사이트 접속을 주기적으로 수행하며, 해당 동작은 백그라운드 방식으로 진행하여 화면 상에서는 표시되지 않지만 트래픽 및 속도 저하를 유발하게 됩니다.

해당 접속 과정을 화면상으로 살펴보면 애드리스트 게시판에 등록된 수천건의 게시물로 연결이 이루어진 후 게시글 내부의 링크를 자동 클릭하도록 구성되어 있습니다.

이를 통해 최종적으로 특정 웹 사이트(언론사, 인터넷 쇼핑몰, 블로그, 카페 등)에 접속하게 되며, 이를 통해 광고 조건을 만족하여 수익이 발생하는 구조로 추정됩니다.

 

이렇게 실행된 파일은 약 30분 동안 동작 후 자동 종료 처리되어 더 이상 동작하지 않는 1회성 실행 형태로 배포가 이루어지고 있습니다.

 

그러므로 위와 같이 사용자가 몰래 화면상에서는 표시하지 않고 자동으로 접속하여 속도 저하 등의 문제를 유발하는 악성 광고 프로그램이 설치될 수 있으므로 인터넷 상에서 다운로드시 설치되지 않도록 주의하시기 바랍니다.