본문 바로가기

벌새::Analysis

성인 동영상 프로그램 Hot-TV Player와 허위 보안 제품의 만남

해외 성인 사이트를 방문하다보면 위와 같이 해당 사이트에서 제공하는 동영상 플레이어(Player)를 접할 때가 있습니다.

사람의 호기심을 자극하는 유혹에 맛보기로 해당 플레이어를 다운로드하여 실행하면서 자신도 모르게 피해를 당할 수 있습니다.

해외에서 배포되는 Hot-TV Player를 통해 어떤 다양한 일이 일어나는지 살펴보겠습니다.

프로그램을 다운로드하여 설치를 시작하면 초기 화면에 해당 프로그램에 대한 이용약관이 있습니다.

해당 프로그램에 대한 설명 중에 이 프로그램은 Favorit Network에서 제공하는 광고가 삽입된 애드웨어 제품임을 알 수 있습니다. 하지만 실제 설치하는 사람들은 유심하게 살펴보지 않는게 특징입니다.

설치의 다음 단계는 없습니다. 바로 위와 같이 플레이어가 동작하면서 특정 서버와 연결하여 음란 동영상을 바로 제공하고 있습니다.

그렇다면 무엇이 문제일까요? 먼저 해당 Hot-TV Player 설치 파일을 보안 제품을 통해 검사를 해 보았습니다.

[HotTV.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.10.10.1 2008.10.10 -
AntiVir 7.8.1.34 2008.10.12 -
Authentium 5.1.0.4 2008.10.12 -
Avast 4.8.1248.0 2008.10.12 -
AVG 8.0.0.161 2008.10.12 -
BitDefender 7.2 2008.10.13 -
CAT-QuickHeal 9.50 2008.10.11 -
ClamAV 0.93.1 2008.10.13 -
DrWeb 4.44.0.09170 2008.10.13 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6141 2008.10.10 -
Ewido 4.0 2008.10.12 -
F-Prot 4.4.4.56 2008.10.12 -
F-Secure 8.0.14332.0 2008.10.13 -
Fortinet 3.113.0.0 2008.10.12 -
GData 19 2008.10.13 -
Ikarus T3.1.1.34.0 2008.10.13 Generic.Trojan-Dropper.SEH
K7AntiVirus 7.10.491 2008.10.11 -
Kaspersky 7.0.0.125 2008.10.13 -
McAfee 5403 2008.10.11 -
Microsoft 1.4005 2008.10.13 -
NOD32 3516 2008.10.13 -
Norman 5.80.02 2008.10.10 -
Panda 9.0.0.4 2008.10.12 -
PCTools 4.4.2.0 2008.10.12 -
Prevx1 V2 2008.10.13 -
Rising 20.65.42.00 2008.10.10 -
SecureWeb-Gateway 6.7.6 2008.10.12 Worm.Win32.Malware.gen!50 (suspicious)
Sophos 4.34.0 2008.10.13 -
Sunbelt 3.1.1719.1 2008.10.13 -
Symantec 10 2008.10.13 -
TheHacker 6.3.1.0.108 2008.10.11 -
TrendMicro 8.700.0.1004 2008.10.10 -
VBA32 3.12.8.6 2008.10.12 -
ViRobot 2008.10.10.1416 2008.10.10 -
VirusBuster 4.5.11.0 2008.10.12 -
Additional information
File size: 571972 bytes
MD5...: 1eeec954686fb3c5e83ad3e9ab382e4d
SHA1..: ed06d01a4cb65bf04f9695c0c2365965b686ae92

진단명으로 유추해 보면 해당 설치 파일은 무엇인가 추가적으로 다운로드를 할 수 있는 드랍퍼로 보입니다. 실제 해당 프로그램은 광고가 설치될 수 있는 애드웨어라고 이용약관에 밝히고 있습니다.

다음으로 해당 플레이어가 설치된 경로를 살펴 보겠습니다.

실제 해당 프로그램은 초기에 이용약관을 제시하는 것 외에는 설치 과정을 전혀 제공하지 않는 것으로 보아 마치 단독 실행 파일처럼 보입니다.

하지만 실제 설치된 경로를 보시면 프로그램은 일반적인 %Program Files% 경로가 아닌 사용자 계정 폴더 깊숙히 숨어 있습니다.

[gopiqq.exe]

Antivirus Version Last Update Result
AhnLab-V3 2008.10.10.1 2008.10.10 -
AntiVir 7.8.1.34 2008.10.12 -
Authentium 5.1.0.4 2008.10.12 -
Avast 4.8.1248.0 2008.10.12 -
AVG 8.0.0.161 2008.10.12 -
BitDefender 7.2 2008.10.13 -
CAT-QuickHeal 9.50 2008.10.13 -
ClamAV 0.93.1 2008.10.13 -
DrWeb 4.44.0.09170 2008.10.13 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6141 2008.10.10 -
Ewido 4.0 2008.10.12 -
F-Prot 4.4.4.56 2008.10.12 -
F-Secure 8.0.14332.0 2008.10.13 -
Fortinet 3.113.0.0 2008.10.13 -
GData 19 2008.10.13 -
Ikarus T3.1.1.34.0 2008.10.13 -
K7AntiVirus 7.10.491 2008.10.11 -
Kaspersky 7.0.0.125 2008.10.13 -
McAfee 5403 2008.10.11 -
Microsoft 1.4005 2008.10.13 -
NOD32 3516 2008.10.13 -
Norman 5.80.02 2008.10.10 -
Panda 9.0.0.4 2008.10.12 -
Rising 20.65.42.00 2008.10.10 -
SecureWeb-Gateway 6.7.6 2008.10.12 Ad-Spyware.LooksLike.NaviPromo
Sophos 4.34.0 2008.10.13 -
Sunbelt 3.1.1719.1 2008.10.13 -
Symantec 10 2008.10.13 -
TheHacker 6.3.1.0.108 2008.10.11 -
TrendMicro 8.700.0.1004 2008.10.10 -
VBA32 3.12.8.6 2008.10.12 -
ViRobot 2008.10.10.1416 2008.10.10 -
VirusBuster 4.5.11.0 2008.10.12 -
Additional information
File size: 294912 bytes
MD5...: c14a5db81ff598f1e4028c3cbf1ff8eb
SHA1..: 1808c232bfba425632eb3b3821d12fc7d48a412a

진단명으로 봐서 광고가 삽입된 애드웨어 또는 사용자 컴퓨터에서 특정 정보를 수집하는 스파이웨어로 진단하고 있습니다.

마지막으로 해당 프로그램의 플레이어가 시행되면서 특정 웹 사이트를 웹 브라우저를 통해 구현을 합니다.

사용자 컴퓨터를 몰래 훔쳐보는 스파이웨어와 같은 악의적인 파일을 검사하기 위해 무료로 프로그램을 다운로드하여 검사를 하라는 광고가 나오고 있습니다.

실제 해당 보안 제품을 다운로드하여 설치를 해 보면 매우 정상적인 프로그램처럼 위장하고 있습니다.

하지만 설치 과정에서 안철수연구소 스파이제로(SpyZero)에서 Win-Adware/Rogue.SpywareSecure.601600 진단명으로 해당 제품을 진단하고 있습니다.


[SpywareSecure_trial_setup.exe] - 설치 파일

Antivirus Version Last Update Result
AhnLab-V3 2008.10.10.1 2008.10.10 -
AntiVir 7.8.1.34 2008.10.12 -
Authentium 5.1.0.4 2008.10.12 -
Avast 4.8.1248.0 2008.10.12 -
AVG 8.0.0.161 2008.10.12 WinFixer.AWQ
BitDefender 7.2 2008.10.13 -
CAT-QuickHeal 9.50 2008.10.11 -
ClamAV 0.93.1 2008.10.13 -
DrWeb 4.44.0.09170 2008.10.13 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6139 2008.10.09 -
Ewido 4.0 2008.10.12 -
F-Prot 4.4.4.56 2008.10.12 -
F-Secure 8.0.14332.0 2008.10.13 -
Fortinet 3.113.0.0 2008.10.12 -
GData 19 2008.10.13 -
Ikarus T3.1.1.34.0 2008.10.13 -
K7AntiVirus 7.10.491 2008.10.11 not-a-virus:AdWare.Win32.NaviPromo.ao
Kaspersky 7.0.0.125 2008.10.13 -
McAfee 5403 2008.10.11 -
Microsoft 1.4005 2008.10.13 Program:Win32/SpywareSecure
NOD32 3516 2008.10.13 -
Norman 5.80.02 2008.10.10 -
Panda 9.0.0.4 2008.10.12 -
PCTools 4.4.2.0 2008.10.12 -
Prevx1 V2 2008.10.13 -
Rising 20.65.42.00 2008.10.10 -
SecureWeb-Gateway 6.7.6 2008.10.12 -
Sophos 4.34.0 2008.10.13 Spy-Sec
Sunbelt 3.1.1719.1 2008.10.13 -
Symantec 10 2008.10.13 -
TheHacker 6.3.1.0.108 2008.10.11 -
TrendMicro 8.700.0.1004 2008.10.10 -
VBA32 3.12.8.6 2008.10.12 -
ViRobot 2008.10.10.1416 2008.10.10 -
VirusBuster 4.5.11.0 2008.10.12 -
Additional information
File size: 673469 bytes
MD5...: 761b877a6b5fbadc1a182e8be4b6a460
SHA1..: 26272914d76ec1f677e82b928097ab487ee735e9


[Spyware-Secure_trial.exe] - 설치 후 실행 파일

Antivirus Version Last Update Result
AhnLab-V3 2008.10.10.1 2008.10.10 -
AntiVir 7.8.1.34 2008.10.12 -
Authentium 5.1.0.4 2008.10.12 -
Avast 4.8.1248.0 2008.10.12 -
AVG 8.0.0.161 2008.10.12 WinFixer.AWQ
BitDefender 7.2 2008.10.13 -
CAT-QuickHeal 9.50 2008.10.13 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.10.13 -
DrWeb 4.44.0.09170 2008.10.13 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6141 2008.10.10 -
Ewido 4.0 2008.10.12 Not-A-Virus.PUP.SpywareSecure
F-Prot 4.4.4.56 2008.10.12 -
F-Secure 8.0.14332.0 2008.10.13 -
Fortinet 3.113.0.0 2008.10.13 Misc/WinFixer
GData 19 2008.10.13 -
Ikarus T3.1.1.34.0 2008.10.13 -
K7AntiVirus 7.10.491 2008.10.11 -
Kaspersky 7.0.0.125 2008.10.13 -
McAfee 5403 2008.10.11 potentially unwanted program WinFixer
Microsoft 1.4005 2008.10.13 Program:Win32/SpywareSecure
NOD32 3516 2008.10.13 -
Norman 5.80.02 2008.10.10 W32/SpywareSecure.C
Panda 9.0.0.4 2008.10.12 -
PCTools 4.4.2.0 2008.10.12 -
Prevx1 V2 2008.10.13 -
Rising 20.65.42.00 2008.10.10 -
SecureWeb-Gateway 6.7.6 2008.10.12 -
Sophos 4.34.0 2008.10.13 Spy-Sec
Sunbelt 3.1.1719.1 2008.10.13 -
Symantec 10 2008.10.13 -
TheHacker 6.3.1.0.108 2008.10.11 -
TrendMicro 8.700.0.1004 2008.10.10 -
VBA32 3.12.8.6 2008.10.12 -
ViRobot 2008.10.10.1416 2008.10.10 -
VirusBuster 4.5.11.0 2008.10.12 -
Additional information
File size: 601600 bytes
MD5...: 6116dd745a0182c7873d3f799934e204
SHA1..: 249cd19005175c1cd76063a65d4754edcd125ed2

※ K7AntiVirus 제품의 경우에는 설치 파일은 진단하지만 실제로 해당 프로그램이 설치된 상태에서는 진단하지 못하는 모순을 가지고 있습니다. 이런 경우에는 해당 허위 보안 제품에 감염되어서 이것을 치료하기 위해 K7AntiVirus을 이용할 때에는 무용지물이라는 뜻입니다.

실제 해당 허위 보안 제품을 제작한 웹 사이트를 방문해 보았습니다.

해당 웹 사이트는 마이크로소프트사에 안전하지 않은 사이트로 보고되어 차단되어 있는 상태입니다.

이번의 경우 우리가 주목해야 할 점은 성인 사이트에서 제공하는 무료 성인 동영상이라는 미끼를 통해 설치되는 광고와 허위 보안 제품을 통해 금전적인 이득을 노리고 있다는 점입니다.

인터넷 상에서 퍼져 있는 음란 동영상을 통해 플레이어를 설치하게 유도하며 실제 플레이어는 사용자 컴퓨터 깊숙히 숨겨서 삭제를 방해하고 여기서 출발된 각종 광고와 허위 보안 제품으로 사용자 컴퓨터를 괴롭히는 이와 같은 방식은 누구를 탓할 수도 없게 만듭니다.

사람의 호기심을 이용한 각종 악성코드로 부터 자신의 컴퓨터를 지키기 위해서는 기술적인 부분을 넘어선 이성적인 컴퓨터 사용 습관도 필요하다고 볼 수 있습니다.