울지않는벌새 : Security, Movie & Society

싸이월드(Cyworld)를 활용한 국내 광고 프로그램 배포 사례 (2015.3.19)

벌새::Analysis

지속적으로 발견되고 있는 네이버(Naver) 지식iN의 답변글을 통해 다수의 국내 광고 프로그램을 설치하도록 할 목적으로 제작된 파일을 홍보하는 활동이 싸이월드(Cyworld) 서비스를 활용하고 있는 부분을 추가적으로 확인하였습니다.

이번 홍보에서는 Adobe Flash Player 10 버전 다운로드가 필요하다는 홍보성 질문글을 올린 후 다른 아이디(ID)를 이용하여 답변글을 다는 방식이며, 이를 통해 네이버 QR코드가 포함된 링크(URL)를 통해 다음과 같은 특정 네이버(Naver) 블로그 계정으로 연결이 이루어집니다.

연결된 네이버 블로그 게시글에서는 Adobe Flash Player 설치 파일 다운로드를 위한 QR코드로 구성된 링크(URL)가 포함되어 있으며, 특히 게시글에서는 다운로드된 압축 파일의 비밀번호(1111)가 있음을 언급하고 있습니다.

해당 압축 비밀번호 방식은 2013년경부터 광고 배포용 파일 다운로드시 웹 브라우저 또는 백신에서 차단하지 못하도록 활용하고 있으므로 참고하시기 바랍니다.

  • h**p://m.site.naver.com/0cC** h**p://blog.naver.com/yunjea32****/220183610521 h**p://m.site.naver.com/0bI** h**p://utilb**m.tumblr.com/#=6422499d4cb8b6c9588549a2345ec564&name=adobe flash player.zip h**p://c2down.cyworld.co.kr/download?fid=6422499d4cb8b6c9588549a2345ec***&name=adobe%20flash%20player.zip <adobe flash player.zip>

블로그에 게시된 네이버 QR코드 링크(URL)를 통해 특정 텀블러(Tumblr) 계정으로 연결되면 숨어있는 스크립트를 통해 자동으로 싸이월드(Cyworld)에 첨부된 파일(adobe flash player.zip)을 다운로드합니다.

다운로드된 adobe flash player.zip 압축 파일을 해제하기 위해서는 블로그에서 언급한 비밀번호(1111)를 입력해야지 install_flash_player_11.2.202.233_setup.exe 파일<SHA-1 : bff54cb970b2519c815c708216786395152f44bb - AhnLab V3 365 Clinic : PUP/Win32.UtilTop.R66815, AVG : Generic5.BIWS (VT : 16/57)>로 압축 해제가 이루어집니다.

압축 해제된 파일을 실행하면 "POSTMEDIA Co.,Ltd" 디지털 서명이 포함된 유틸탑(UtilTop) 계열의 배포 파일이 실행됩니다.

이를 통해 생성된 다운로드 창에는 18종의 국내 광고 프로그램이 좁은 영역에 은밀하게 숨어서 사용자가 실행 또는 저장 버튼을 클릭할 경우 자동으로 일괄 설치되므로 매우 주의하시기 바랍니다.

특히 사용자가 다운로드 창을 닫거나 취소할 경우 그림과 같은 안내창을 통해 "예(Y)" 버튼을 클릭하도록 유도하여 광고 프로그램을 설치하도록 유도하므로 문구를 잘 읽도록 하시기 바랍니다.

 

■ 제휴 프로그램에 포함된 설치 파일 진단 정보

  1. h**p://app.korean***word.com/INST/ELT10/wd_id08.exe (SHA-1 : c77884a6174316cff8fcb144bd14002afe5c6cd3) - avast! : Win32:Adware-ADZ [Adw] (VT : 30/57)
  2. h**p://down.sky***get.co.kr/download/Skywidget(smart)_h.exe (SHA-1 : e3416efcb24a8aa0f87629be93e7a26dfe5725f6) - avast! : Win32:GenMaliciousA-BG [Trj] (VT : 38/57)
  3. h**p://file.target***word.co.kr/app/newiniweblink/P052/weblinkup.exe (SHA-1 : 247511ad51e8a34f98d68de92ee4ef0d452a8662) - avast! : Win32:Adware-gen [Adw] (VT : 40/57)
  4. h**p://down.win**guide.com/setup_kid001_silent.exe (SHA-1 : e986c8c69857860a97f0a48f9aef07ad74aea341) - Hauri ViRobot : Adware.Agent.233032[h] (VT : 12/57)
  5. h**p://file.m**k.co.kr/app/windowstab/WindowsTabSetup_utiltop.exe (SHA-1 : 7738a9849e642c99f76af98f6ada647f4b2a02ad) - avast! : Win32:Agent-ASKJ [Trj] (VT : 40/56)
  6. h**p://codebase.g**dcomms.co.kr/codebase/websetup/appis/WSLutiltop.exe (SHA-1 : 3e7f821bb5447338b17f009f1287c2834bf7285e) - AhnLab V3 365 Clinic : PUP/Win32.GoodComms.C164975 (VT : 2/57)
  7. h**p://smart***per.co.kr/update/setup_A001.exe (SHA-1 : 597a15763f5fd2efe6a747c6692195c1347a1762) - AhnLab V3 365 Clinic : PUP/Win32.UtilTop.C759858 (VT : 6/57)
  8. h**p://down.wise***support.com/down/adInstall_wms002.exe (SHA-1 : f588dac4c0700fbeda8003a22e3bfea69d685665) - Hauri ViRobot : Adware.Wiseman.1333888[h] (VT : 23/56)
  9. h**p://down.luckyt**l.net/lucky07/luckyinstall.exe (SHA-1 : 5e132bbeec4182a511c60afe7465f6ec91cea3cb) - ESET : Win32/Adware.SafeTerra.A (VT : 11/57)
  10. h**p://**search.or.kr/aaa/windowadvertisement_codenemo06.exe (SHA-1 : acde106296a69b3c4bedc7a93d27a024c43aea7b) - Hauri ViRobot : Adware.Agent.5185384[h] (VT : 34/57)
  11. h**p://down.sign***.co.kr/star/sMercury/signkey.exe (SHA-1 : e9990714873857cc79179d01c50aebf81bd68143) - avast! : Win32:Hupigon-WO [Trj] (VT : 26/57)
  12. h**p://sub.open***word.co.kr/opapp/postmedia1/app/download/openkeyword_silent.exe (SHA-1 : 6283db1fdd8d03533283c8af8c0dfb091cace7f2) - avast! : Win32:GenMaliciousA-CJ [Trj] (VT : 28/57)
  13. h**p://util***.com/app/newtab.exe (SHA-1 : 58bcab4046dcd05fd8cb64d991035c53535a141e) - AhnLab V3 365 Clinic : PUP/Win32.StartPage.C759969 (VT : 2/57)
  14. h**p://setup.lnimarket***.co.kr/PccomSetup_313_Hide.exe (SHA-1 : b50cf6a63c125a4f2fec732d4051366407337103) - Avira : Adware/Kraddare.1203376 (VT : 20/57)
  15. h**p://util***.com/app/wuu/wuu_utiltop.exe (SHA-1 : ec8d6656606445d21befa9ce0cd0806cf73b6120) - AVG : Skodna.Generic_c.FT (VT : 11/57)
  16. h**p://***line.co.kr/app/download/partner/8/setup_agent.exe (SHA-1 : 62fb4304c97d65ec9f8a45dbfb33deae8eca0bd9) - AhnLab V3 365 Clinic : PUP/Win32.UtilTop.C759823 (VT : 19/57)
  17. h**p://partner.sm***access.kr/Setup_UT4.exe (SHA-1 : 1b84aee759458ff2e55b4bc2edf2b3e58e380305) - AVG : Win32/DH{gQwuICQiJSM} (VT : 17/56)
  18. h**p://down.win**search.com/setup_wsx001_silent.exe (SHA-1 : b312b5f42f31bffc002b1ae38af111b1619bdb52) - Hauri ViRobot : Adware.Agent.232352[h] (VT : 7/57)

이렇게 설치되는 광고 프로그램 중에서는 ① 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판에 표시되지 않는 경우 ② 사용자 몰래 추가적인 광고 프로그램을 함께 설치하는 경우 ③ 설치 후 업데이트 기능을 통해 추가적인 다수의 광고 프로그램의 설치를 유도하는 경우 ④ 악성코드처럼 삭제 기능 자체가 존재하지 않는 경우 등 다양하게 설치될 수 있습니다.

 

그러므로 네이버 지식iN 답변, 블로그, 카페를 통해 다운로드를 유도하는 경우에는 함부로 파일을 실행하는 일이 없도록 각별히 주의하시기 바라며, 특히 국내 무료 백신의 경우에는 광고 프로그램에 대한 진단 및 차단이 전혀 이루어지지 않는다는 점을 명심하시기 바랍니다.