본문 바로가기

벌새::Analysis

텀블러(Tumblr)를 활용한 국내 광고 프로그램 배포 사례 (2015.3.18)

네이버(Naver) 지식iN을 활용한 국내 광고 프로그램 배포 방식은 기존부터 블로그를 통해 소개한 적이 있었습니다.

최근 확인된 지식iN 질문과 답변을 이용하여 특정 파일을 다운로드하도록 하는 과정에서 해외 텀블러(Tumblr) 서비스를 활용하는 부분이 있기에 살펴보도록 하겠습니다.

 

압축 파일의 비밀번호 분실로 인해 암호 해제 프로그램에 대한 질문글(※ 광고 배포 조직이 질문글을 작성한 것으로 추정)에 대하여 "zip 암호 풀기"라는 링크(URL)가 포함된 답변글을 작성합니다.

해당 링크는 기존에 알려진 네이버 QR코드 주소(m.site.naver.com)를 활용하고 있으며, 이를 통해 다음과 같은 특정 네이버 블로그로 연결이 이루어집니다.

연결된 블로그 게시글에서는 ZIP 압축 파일의 비밀번호(암호)를 해제할 수 있는 파일을 다운로드할 수 있는 링크(URL)가 포함되어 있으며 이전과 동일하게 네이버 QR코드로 연결되어 있습니다.

  • h**p://m.site.naver.com/0bE**  h**p://skxkxkdmzkdk***.tumblr.com/#=24943 h**p://util***ia.com/activeDown/activeDown.php?seq=24943 h**p://www.***util.co.kr/dn.asp?pcode=1005&seq=24943 <RAR-Password-Recovery-Magic611375.exe>

네이버 QR코드로 연결되는 웹 사이트는 텀블러(Tumblr)의 특정 계정으로 내부에 숨어있는 스크립트를 이용하여 국내 자료실 서버에서 RAR-Password-Recovery-Magic611375.exe 파일<SHA-1 : 9ac30d96a823cebc7d7b7d08dab20c6c0dcddaf2 - AhnLab V3 365 Clinic : PUP/Win32.UtilTop.R66815, Norton : Download.Adware (VT : 16/57)>을 자동으로 다운로드하는 구조로 되어 있습니다.

"Postmedia Co.,Ltd" 디지털 서명이 포함된 해당 파일을 실행할 경우 파일 다운로드 창이 생성되어 사용자가 인지하기 어려운 좁은 영역에 17종의 광고 프로그램을 자동으로 설치하도록 구성되어 있습니다.

특히 사용자가 실행한 파일이 광고 설치 목적으로 제작된 것을 인지하고 닫기(X) 버튼을 클릭하여 종료할 경우 "파일을 다운로드 하지 못했습니다. 다운로드 후 종료하겠습니까?"라는 질문창을 생성하여 "예(Y)" 버튼을 클릭하도록 실수를 유발하고 있으므로 매우 주의해야 합니다.

 

■ 제휴 프로그램 설치 파일 진단 정보

  1. h**p://app.korean***word.com/INST/ELT10/wd_id08.exe (SHA-1 : c77884a6174316cff8fcb144bd14002afe5c6cd3) - AhnLab V3 365 Clinic : PUP/Win32.WinKeyword.R122104 (VT : 30/57)
  2. h**p://down.***widget.co.kr/download/Skywidget(smart)_h.exe (SHA-1 : e3416efcb24a8aa0f87629be93e7a26dfe5725f6) - AhnLab V3 365 Clinic : PUP/Win32.Enumerate.R37949 (VT : 32/50)
  3. h**p://file.target***word.co.kr/app/newiniweblink/P052/weblinkup.exe (SHA-1 : 247511ad51e8a34f98d68de92ee4ef0d452a8662) - AhnLab V3 365 Clinic : PUP/Win32.WebLink.R87398 (VT : 41/57)
  4. h**p://down.***doguide.com/setup_kid001_silent.exe (SHA-1 : e986c8c69857860a97f0a48f9aef07ad74aea341) - AhnLab V3 365 Clinic : PUP/Win32.WindoGuide (VT : 12/56)
  5. h**p://file.m*u*.co.kr/app/windowstab/WindowsTabSetup_utiltop.exe (SHA-1 : 7738a9849e642c99f76af98f6ada647f4b2a02ad) - AhnLab V3 365 Clinic : PUP/Win32.WindowsTap.C169475 (VT : 39/57)
  6. h**p://codebase.g**dcomms.co.kr/codebase/websetup/appis/WSLutiltop.exe (SHA-1 : 3e7f821bb5447338b17f009f1287c2834bf7285e) - AhnLab V3 365 Clinic : PUP/Win32.GoodComms.C164975 (VT : 2/57)
  7. h**p://smart***per.co.kr/update/setup_A001.exe (SHA-1 : 597a15763f5fd2efe6a747c6692195c1347a1762) - AhnLab V3 365 Clinic : PUP/Win32.UtilTop.C759858 (VT : 4/57)
  8. h**p://down.wise***support.com/down/adInstall_wms002.exe (SHA-1 : f588dac4c0700fbeda8003a22e3bfea69d685665) - AhnLab V3 365 Clinic : PUP/Win32.CloverPlus.R130331 (VT : 24/57)
  9. h**p://down.luc**tool.net/lucky07/luckyinstall.exe (SHA-1 : 5e132bbeec4182a511c60afe7465f6ec91cea3cb) - AhnLab V3 365 Clinic : PUP/Win32.LuckyTool.C578948 (VT : 9/57)
  10. h**p://**search.or.kr/aaa/windowadvertisement_codenemo06.exe (SHA-1 : acde106296a69b3c4bedc7a93d27a024c43aea7b) - AhnLab V3 365 Clinic : PUP/Win32.MulDrop.R106698 (VT : 34/57)
  11. h**p://down.sign***.co.kr/star/sMercury/signkey.exe (SHA-1 : e9990714873857cc79179d01c50aebf81bd68143) - AhnLab V3 365 Clinic : PUP/Win32.SearchKeys.R82337 (VT : 16/57)
  12. h**p://sub.open***word.co.kr/opapp/postmedia1/app/download/openkeyword_silent.
    exe (SHA-1 : 6283db1fdd8d03533283c8af8c0dfb091cace7f2) - AhnLab V3 365 Clinic : Win-PUP/Helper.OpenKeyword.1163344 (VT : 28/57)
  13. h**p://util***.com/app/newtab.exe (SHA-1 : 58bcab4046dcd05fd8cb64d991035c53535a141e) - AhnLab V3 365 Clinic : PUP/Win32.StartPage.C759969 (VT : 1/57)
  14. h**p://setup.lnimarket***.co.kr/PccomSetup_313_Hide.exe (SHA-1 : b50cf6a63c125a4f2fec732d4051366407337103) - AhnLab V3 365 Clinic : PUP/Win32.PcCom.C759993 (VT : 20/57)
  15. h**p://util***.com/app/wuu/wuu_utiltop.exe (SHA-1 : ec8d6656606445d21befa9ce0cd0806cf73b6120) - Avira : Rkit/Agent.1124560 (VT : 10/57)
  16. h**p://down.***dosearch.com/setup_wsx001_silent.exe (SHA-1 : b312b5f42f31bffc002b1ae38af111b1619bdb52) - AhnLab V3 365 Clinic : PUP/Win32.WindowSearch.R124743 (VT : 5/57)
  17. h**p://partner.smarta**ess.kr/Setup_UT4.exe (SHA-1 : 1b84aee759458ff2e55b4bc2edf2b3e58e380305) - AhnLab V3 365 Clinic : PUP/Win32.EasyClean.C722473 (VT : 16/57)

그러므로 지식인, 블로그, 카페와 같은 신뢰할 수 없는 출처를 통해 파일 다운로드를 안내하는 경우에는 함부로 실행하는 일이 없도록 매우 주의하시기 바라며, 한 번의 클릭 실수로 인해 10여개 이상의 광고 프로그램이 설치될 수 있으며 설치된 이들 프로그램 중에서는 또 다른 광고 프로그램을 다수 추가 설치할 수 있다는 점도 명심하시기 바랍니다.

  • 텀블사이트를 몇번 접속했었는데 adintall_wms001이라고 kraddare에드웨어가 계속 백신에 잡히는데요. 치료하기버튼을 눌러제거해도 계속 존재하고 직접 삭제버튼을 눌려도 제거되지가 않네요. 이것땜에 깔린 악성 프로그램은 없는거 같고 컴퓨터에도 아직이상은 없는데 이파일 어떻게 지우죠? ㅠㅠ

    • 해당 파일의 위치를 확인하여 직접 삭제하시거나 사용하는 웹 브라우저에서 제공하는 인터넷 임시 파일 삭제를 해보시기 바랍니다.

    • BlogIcon ㅠㅠ 2015.03.20 00:31 댓글주소 수정/삭제

      직접도 삭제시도해보고 하는데 안지워지네여 백신에서 계속 인식은 하는데.. 그리고 이파일에 접근할려고 하면 컴퓨터에 심한 렉같은 현상이 일어나고 모든창이 다 응답없음으로 표시되여 ㅠㅠ 강제로 파일삭제하는 프로그램같은건 없나여?

    • 파일이 존재하는 폴더 위치가 어디죠?

    • BlogIcon ㅠㅠ 2015.03.20 00:34 댓글주소 수정/삭제

      씨드라이브 윈도우즈 폴더에 .exe파일로 있습니다

    • 무슨 백신인지 모르지만 실시간 끄고 파일 직접 삭제해 보시기 바랍니다.

    • BlogIcon ㅠㅠ 2015.03.20 00:40 댓글주소 수정/삭제

      삭제할려고하니까파일이 korea contents network mfc응용 프로그램에서 열려있어서 삭제할수없다고 파일을 닫고 다시시도해르는데여.. ㅠㅠ

    • 파일이 실행 상태로 보입니다. 윈도우 작업 관리자에서 삭제하려는 파일 이름을 참고하여 프로세스를 찾아 종료 후 삭제하시기 바랍니다.

    • BlogIcon ㅠㅠ 2015.03.20 00:45 댓글주소 수정/삭제

      진짜죄송한데.. 프로세스끄고 삭제하기 하니까 삭제가되는데 새로고침하니까 그대로 있습니다.. 살짝 멘붕이네여 ㅠㅠ

    • 아마 그 파일 하나의 문제가 아니라 다른 파일이 존재해서 지속적으로 생성되나 봅니다. 그런 프로그램을 찾으셔야 할 듯. 블로그 공지쪽 읽어보시고 Runscanner 프로그램으로 문의해 주시기 바랍니다.

    • BlogIcon ㅠㅠ 2015.03.20 00:52 댓글주소 수정/삭제

      정말 감사합니다ㅠㅠ