인터넷 상에서 사용자가 원하는 콘텐츠를 찾는 과정에서 온라인 문서 작성 기능을 제공하는 구글 문서 도구(Google Docs) 서비스를 이용하여 해외 광고 프로그램을 유포하는 사례에 대해 살펴보도록 하겠습니다.
예를 들어 특정 인터넷 검색 키워드를 이용하여 구글(Google) 검색 과정에서 Google Docs 주소(docs.google.com)로 연결되는 부분을 발견할 수 있습니다.
연결된 웹 페이지는 Google Docs 서비스를 이용하여 문서를 작성하였으며 내부에는 파일 다운로드 또는 비디오 감상을 위해 특정 웹 사이트로 연결되는 링크가 포함되어 있습니다.
연결된 웹 사이트에서는 마치 동영상 재생을 할 수 있는 것처럼 구성되어 있으며 이를 위해서 제공되는 파일을 다운로드하도록 유도하고 있습니다.
참고로 다운로드 링크 정보를 확인해보면 특정 검색 서비스를 제공하는 서버에서 "Video Player 1.2.1" 이름의 파일을 다운로드하도록 되어 있습니다.
이를 통해 최종적으로 다운로드된 Video Player 1 2 1 Downloader.zip 압축 파일은 2중으로 압축되어 있으며, 내부에는 [LLC "HALKON PLYUS"] 디지털 서명이 포함된 Video Player 1 2 1 Downloader__3687_i1511357050_il823377.exe 실행 파일<SHA-1 : daf349c126775341cd26ca2ed130de1c6c07a4d3 - AhnLab V3 365 Clinic : PUP/Win32.Amonetize.C841846 (VT : 11/57)>이 포함되어 있습니다.
다운로드된 파일을 실행할 경우 ["C:\Users\(사용자 계정)\AppData\Local\Temp\Video Player 1 2 1 Downloader__3687_i1511357050_il823377.exe" /rsm] 파일로 자가 복제하여 "Video Player 1.2.1 Downloader" 프로그램(※ 실제 설치 이름 : Prompt Downloader) 설치창이 생성됩니다.
이 과정에서 추가적으로 설치될 수 있는 다양한 제휴 프로그램(Plus-HD, oursurfing uninstall, CPU Miner 등)과 제어판에는 표시되지 않는 "WindowsMangerProtect, XTab" 광고 프로그램이 함께 설치될 수 있습니다.
그러므로 인터넷 상에서 검색을 통해 다운로드되는 파일을 실행시 단순히 안티 바이러스(AntiVirus) 보안 제품에서 진단되지 않는다고 함부로 실행하여 삭제가 제대로 이루어지지 않는 광고 프로그램(PUP)이 설치되어 고생하는 일이 없도록 각별히 주의하시기 바랍니다.