본문 바로가기

벌새::Analysis

멜론 TOP 100 토렌트 파일에 포함된 의문의 필터링 프로그램 정체 (2015.4.3)

반응형

토렌트(Torrent) 공유 방식으로 배포되는 멜론(Melon) TOP 100 파일 중에서 의문의 ZIP 압축 파일이 포함되어 있는 부분이 있어 관련 정보를 살펴보도록 하겠습니다.

확인된 토렌트 파일 내부에는 다수의 mp3 음원 파일과 함께 ff.zip 압축 파일(69.4MB)이 포함되어 있습니다.

다운로드된 ff.zip 압축 파일(ff.zip\필터링\필터필터링\) 내부에는 다수의 정상 파일(NVIDIA 그래픽 카드 드라이버, Internet Explorer, Windows 등)과 2종의 설치 파일이 포함되어 있습니다.

 

■ install.exe (SHA-1 : 71aa0658ba9146f157644e8244e8da8061c70612) - Avira : ADSPY/PurityScan.EK, Norton : Adware.Purityscan (VT : 14/57)

해당 파일은 2008년 11월 21일(VirusTotal 기준), 2009년 8월 6일(ASD 기준)에 보고된 매우 오래된 파일입니다.

파일 실행시 RAZOR 1911 와레즈 조직에서 제작한 "스타크래프트 : 브루드 워(Starcraft : Blood War)" 게임이 설치되어 있는지 체크하여 크랙(Crack)을 해주는 프로그램입니다.

 

install1.exe (SHA-1 : 8b424b93a5d76ba4bdc21ad83cd43272200a988f) - 알약(ALYac) : Trojan.Clicker-VB, Hauri ViRobot : Adware.Shortcut.20480.A[h] (VT : 11/55)

해당 파일은 2008년 12월 1일(VirusTotal 기준), 2009년 8월 1일(ASD 기준)에 보고된 국내 광고 프로그램입니다.

  • C:\Users\(사용자 계정)\Favorites\세상에서 제일 큰 자료실, 클럽하드.url
  • C:\Users\(사용자 계정)\Favorites\쇼핑, 즐거운 옥션.url

프로그램 설치가 이루어질 경우 즐겨찾기 영역에 추천인 아이디(ID)가 포함된 웹하드와 제휴 코드가 포함된 옥션(Auction) 바로가기가 생성됩니다.

 

결론적으로 대용량의 더미(Dummy) 파일 내부에 설치 파일을 포함하여 사용자가 실행할 경우 광고 기능을 수행하는 것으로 보이며, 최초 배포가 이루어진 2008~2009년부터 최근까지도 이유없이 멜론(Melon) 파일에 포함되어 있는 매우 특이한 사례가 아닌가 싶습니다.

728x90
반응형