울지않는벌새 : Security, Movie & Society

쇼핑 바로가기 아이콘을 생성하는 FavoritesMake 국내 광고 프로그램 주의 (2015.7.17)

벌새::Analysis

최근 특정 검색 키워드 값을 통해 토렌트(Torrent) 관련 파일처럼 위장하여 다수의 광고 프로그램 설치를 유도하는 사례에 대해 소개한 적이 있습니다.

해당 제휴 프로그램 중 "zens" 이름으로 설치를 유도하는 삭제를 지원하지 않는 FavoritesMake 국내 악성 광고 프로그램에 대해 살펴보도록 하겠습니다.

사용자의 부주의한 클릭을 유도하여 특정 서버에서 blgzie10.exe 설치 파일<SHA-1 : fea1c31e03ce0a7c24cef5e6d0393e6b167b3ec9 - BitDefender : Trojan.GenericKD.2551076 (VT : 14/55)>을 다운로드하여 다음과 같은 파일을 생성합니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\~tmp_file_009.exe :: 시작 프로그램(FavoritesMake) 등록 파일, 메모리 상주 프로세스
 - SHA-1 : 246f4e12aed860dafcd3e0777228450b8c33dcb3
 - Avira : TR/ATRAPS.Gen (VT : 10/55)

 

C:\Users\(사용자 계정)\Favorites\쇼핑.url

설치된 광고 프로그램은 외형적으로는 즐겨찾기 영역에 쇼핑 바로가기 아이콘을 생성하지만, 해당 바로가기 아이콘의 연결 주소는 제휴 코드가 없는 평범한 URL 주소로 되어 있습니다.

 

즉 G마켓 업체에서 직접 광고 프로그램을 운영하는 것이 아니라면 위와 같은 URL 주소는 제작자에게 아무런 이득이 없으므로 실제 숨어있는 기능이 무엇인지 살펴보도록 하겠습니다.

해당 광고 프로그램은 Windows 시작시 임시 폴더(%Temp%)에 생성된 ~tmp_file_009.exe 파일을 시작 프로그램(FavoritesMake)으로 등록하여 자동 실행되도록 구성되어 있습니다.

실행된 파일은 즐겨찾기 영역에 G마켓 바로가기 아이콘(쇼핑.url)을 재설치할 목적으로 정보를 체크합니다.

이후 특정 서버에 등록된 광고 구성값 정보를 체크하여 다음과 같은 화면에는 표시되지 않는 인터넷 검색 활동을 수행할 수 있습니다.


연결 과정을 살펴보면 광고 구성값 체크를 통해 특정 웹 서버를 경유하여 최종적으로 특정 검색 키워드 값을 기반으로 포털 검색 및 광고가 노출되는 특정 웹 사이트로 연결됩니다.


특정 검색 키워드 값으로 연결된 웹 사이트는 관련 광고 및 포털 검색 결과가 표시되며 해당 검색 활동이 이루어진 후 일정 시간이 경과할 때까지 대기하며 5분이 경과하는 시점에서 추가적인 검색 활동을 통해 G마켓 인터넷 쇼핑몰로 접근하는 동작을 확인할 수 있습니다.

G마켓 인터넷 쇼핑몰 연결 정보를 확인해보면 특정 제휴 코드를 경유하여 G마켓 검색 영역에 특정 검색 키워드 값이 추가된 형태로 접근하는 것을 알 수 있습니다.

 

위와 같은 일련의 인터넷 검색 활동은 사용자 PC 화면 상에서는 전혀 표시되지 않지만 마치 인간이 인터넷 검색을 통해 특정 광고를 클릭하여 최종적으로 G마켓 인터넷 쇼핑몰에 접근하는 과정을 시간차를 두고 연결하는 모양으로 추정됩니다.

 

FavoritesMake 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 ~tmp_file_009.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) "C:\Users\(사용자 계정)\AppData\Local\Temp\~tmp_file_009.exe" 파일을 찾아 삭제하시기 바랍니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
FavoritesMake"
값을 찾아 삭제하시기 바랍니다.