최근 다수의 광고 프로그램을 사용자의 부주의한 실수를 통해 설치하도록 배포하는 방식 중 특정 검색 키워드를 이용하여 토렌트(Torrent)처럼 위장한 방식이 발견되어 살펴보도록 하겠습니다.
특정 검색 키워드(※ 예시 : 울지않는벌새 )를 이용한 인터넷 검색을 통해 노출된 웹 사이트에 접속할 경우 마그넷(Magnet) 주소, 파일 리스트, 용량이 표시된 토렌트 시드(Seed) 정보가 표시된 것을 볼 수 있습니다.
■ Google Chrome 웹 브라우저 사용자
해당 사이트를 Google Chrome 웹 브라우저를 통해 접속한 경우 울지않는벌새.zip 파일 다운로드를 진행할 경우 제휴 코드가 포함된 웹하드 등으로 연결되는 광고 행위만을 확인할 수 있습니다.
■ Internet Explorer 웹 브라우저 사용자
Internet Explorer 웹 브라우저 환경에서는 울지않는벌새.zip 파일 다운로드시 samdoo 디지털 서명이 포함된 실행 파일(SHA-1 : 87993c32d49db51d5d7661a9f736f93d668ead47)을 다운로드하는 것을 확인할 수 있습니다.
다운로드된 파일(※ 프로그램 이름 : solomon technology)은 프로그램 이름을 가진 파일은 2015년 6월 9일경부터 배포가 이루어진 것으로 보입니다.
실행된 "FILE DOWNLOAD" 창에서는 678MB 용량의 ZIP 압축 파일을 다운로드할 수 있는 것처럼 화면을 속이고 있으며, 사람의 눈을 속일 목적으로 매우 좁은 영역에 10종의 다양한 국내 광고 프로그램이 체크된 상태입니다.
실제로 678MB 용량의 ZIP 압축 파일에 무엇이 존재한지 확인해보면 3.0MB 수준의 분할 압축된 EGG 압축 파일 1개만 존재함을 확인할 수 있는 가짜(Fake) 파일입니다.
결국 해당 파일의 진짜 목적은 생성된 창을 제대로 확인하지 않고 다운로드를 시도하는 사용자 PC에 다수의 광고 프로그램을 자동으로 설치할 목적입니다.
(1) 검색 도우미 : LuckyTool (2014.10.1)
- h**p://down.lucky****.net/lucky17/luckyinstall.exe (SHA-1 : 6918a0ee543091b0716e1b9ea9794876aa91fe23) - AVG : Generic6.ACPW (VT : 23/54)
"yssoft" 디지털 서명이 포함된 LuckyTool 악성 광고 프로그램은 제어판의 삭제 목록에 등록하지 않는 방식으로 자신의 설치를 숨기며, 변종에 따라 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더에 다양한 폴더명으로 설치됩니다.
(2) <Right Security Blog> 검색 도우미 : 네이트 주소창 검색 (2013.10.21)
- h**p://filedownload.***app.kr/ipagentsetup_021.exe (SHA-1 : 21a1fac92e0a8c36264d2cfbd6d4e93f4207bd20) - Avira : TR/Dldr.Agent.1127640.1 (VT : 13/55)
"INDOIT Co., Ltd." 디지털 서명이 포함된 설치 파일을 통해 네이트 주소창 검색 프로그램을 설치하는 것으로 추정됩니다.
(3) 삭제 기능을 제공하지 않는 "Savepop + WizLine Toolbar" 광고 프로그램 주의 (2014.7.3)
- h**p://***line.co.kr/app/download/partner/4/setup_agent.exe (SHA-1 : 7d4520fbfc5024d9ad76b4a703845aeba90ca246) - Kaspersky : not-a-virus:AdWare.Win32.PopAd.aqx (VT : 31/55)
- [추가 다운로드] h**p://save***.co.kr/app/download/partner/4/savepop_agent.exe (SHA-1 : 06b06a4e63116323e0932f2057ceb49b89faffe3) - Hauri ViRobot : Adware.Agent.3885576[h] (VT : 36/55)
- [추가 다운로드] h**p://***line.co.kr/app/download/partner/4/wizline_agent.exe (SHA-1 : 85878a00a7fa4e79c9b6f8838527bf1ff79c62f2) - Hauri ViRobot : Adware.Agent.281480.A[h] (VT : 14/55)
"suhyeun development" 디지털 서명이 포함된 설치 파일은 Savepop, Windows WizLine 광고 프로그램을 각각 설치합니다.
(4) 검색 도우미 : Wiseman + Mw for updater (2014.2.11)
- h**p://down.wise***support.com/down/adInstall_wms005.exe (SHA-1 : 2ae0bd92c72cff48bb2afa99f669572ad38fdf6f) - Kaspersky : not-a-virus:AdWare.Win32.CloverPlus.ll (VT : 29/55)
"ContentNetowrkKOREA Co.,Ltd" 디지털 서명이 포함된 설치 파일은 Wiseman, Mw for updater 광고 프로그램을 각각 설치합니다.
(5) 검색 도우미 : WindowsTab (2013.7.4)
- h**p://file.m**k.co.kr/app/windowstab/WindowsTabSetup_jaryonara.exe (SHA-1 : 4e561f6a864285f01366bd42eaf6617149c88d99) - Kaspersky : Trojan-Dropper.Win32.Sysn.aabg (VT : 41/54)
- [추가 다운로드] h**p://file.m**k.co.kr/app/windowstab/windowstab/windowstab_ins.exe (SHA-1 : 8b5d19a3426fcc53b8c84febdf98468eba3f4418) - BitDefender : Adware.Kraddare.FH (VT : 40/54)
"DOTPITCH.INC" 디지털 서명이 포함된 설치 파일은 "WindowsTab Uninstall" 광고 프로그램을 설치합니다.
(6) <Right Security Blog> 제휴(스폰서) 프로그램 : LemonWebtoon (2015.5.19)
- h**p://nd.lemon***toon.co.kr/apop/setup_partlmw021.exe (SHA-1 : 665c6cd35901fba7e02a542851884f62b3327a3f) - Dr.Web : Trojan.Adkor.148 (VT : 4/55)
"(주)프리아이커뮤니케이션" 디지털 서명이 포함된 설치 파일은 레몬 웹툰 뷰어 프로그램 설치를 통해 추가적인 업데이트시 다양한 광고 프로그램 설치를 목적으로 합니다.
(7) 제휴(스폰서) 프로그램 : 윈도우뷰콘(Window ViewCon) - windowviewcon(goorma) uninstall (2012.4.30)
- h**p://file.m**k.co.kr/app/windowviewcon/WindowviewconSetup_moavon.exe (SHA-1 : a1062bc364e62316c35c6261da6de3bf8753bb3d) - Hauri ViRobot : Adware.Agent.144976.A[h] (VT : 29/54)
- [추가 다운로드] h**p://file.m**k.co.kr/app/windowviewcon/home/windowviewcon_ins.exe (SHA-1 : 9cb293e3437ae8f7c9c8c223117dc46760d05d8a) - AhnLab V3 365 Clinic : PUP/Win32.WindowViewCon.R90047 (VT : 27/55)
"DOTPITCH.INC" 디지털 서명이 포함된 설치 파일은 11번가, G마켓, 옥션 바로가기 아이콘 생성을 포함한 광고 기능을 수행합니다.
(8) 검색 도우미 : SKY Widget (2015.1.11)
- h**p://down.sky***get.co.kr/download/Skywidget(up)_h.exe (SHA-1 : c9609e25c1a74644d6416f78c6b32146072cd142) - avast! : Win32:GenMaliciousA-MPO [PUP] (VT : 40/55)
B&C 디지털 서명이 포함된 설치 파일은 업데이트 기능을 통한 추가적인 광고 프로그램 설치 및 인터넷 검색시 광고탭을 생성합니다.
(9) 삭제 기능을 제공하지 않는 G마켓 바로가기 아이콘 생성 프로그램
- h**p://dn.z**s.me/exver/blgzie10.exe (SHA-1 : 246f4e12aed860dafcd3e0777228450b8c33dcb3) - 알약(ALYac) : Trojan.GenericKD.2558046 (VT : 14/55)
출처를 알 수 없는 해당 광고 프로그램은 G마켓 바로가기 아이콘을 생성하며 화면에 표시되지 않는 방식으로 자동으로 인터넷 검색 활동을 수행합니다.
(10) 검색 도우미 : SignKey - signkeyexb.exe (2015.3.27)
- h**p://down.sign***.co.kr/star/sCeres/signkey.exe (SHA-1 : 5f2c628b979ef0b56319a6790ebd9013fc703a9f) - avast! : Win32:Hupigon-WO [Trj] (VT : 35/55)
"JAMIcommunication Co.,Ltd" 디지털 서명이 포함된 설치 파일은 인터넷 검색시 광고창을 생성하는 광고 프로그램을 설치합니다.
여전히 부주의한 파일 다운로드 습관으로 인하여 원치않는 다수의 광고 프로그램이 자동으로 설치되어 고생하는 경우가 많으므로 인터넷 상에서 다운로드한 파일 실행시에는 화면을 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.