울지않는벌새 : Security, Movie & Society

OpenCandy 해외 광고 솔루션 차단 방법

벌새::Security

특정 백신 프로그램을 이용할 때는 몰랐지만 앱체크(AppCheck) 보조 백신과 같은 다중 백신을 통한 파일 감시가 가능해지면서 평소 문제없이 사용하던 프로그램 설치시 다수의 백신 프로그램이 차단을 하는 경우를 경험할 수 있습니다.

예를 들어 동영상, 음악 파일 정보를 확인할 수 있는 MediaInfo 설치 파일(SHA-1 : 26a0144877429c93b19cb4d6ed95343fe813fa3c)을 실행할 경우 OpenCandy 진단명으로 진단되고 있습니다.

 

OpenCandy 광고 솔루션은 해외에서 제작된 프로그램 설치 과정에서 추가될 수 있는 제휴 프로그램을 통해 쉽게 볼 수 있으며, 대표적으로 μTorrent 파일 공유 프로그램 설치시 추가되는 제휴 프로그램이 이에 속합니다.

 

프로그램 설치시 화면에서 제공하는 정보를 잘 확인하여 제휴 프로그램 설치가 이루어지지 않도록 할 수 있지만, 조금 더 공격적으로 OpenCandy 제휴 프로그램의 설치를 차단할 수 있는 방법을 살펴보도록 하겠습니다.

MediaInfo 프로그램 설치 과정에서는 이용약관을 통해 OpenCandy Network를 통해 제3자의 소프트웨어를 추천할 수 있다는 부분에 대해 언급하고 있지만, 대다수의 사용자는 언어 여부를 떠나서 거의 확인하지 않을 것입니다.

이 과정에서 실행된 파일은 OpenCandy 서버(api.opencandy.com / cdn3.opencandy.com)와의 통신을 시도하여 MediaInfo 프로그램 설치시 표시할 제휴 프로그램 정보를 받아오도록 되어 있습니다.

이를 통해 다음 설치 단계에서는 Opera Browser 설치를 추천하는 화면이 생성되며, 사용자의 선택 또는 실수로 인하여 함께 설치가 진행될 수 있습니다.

 

문제는 이런 화면 구성을 통해 제휴 프로그램 설치를 유도하지 않는 경우도 상당수 많으며, 일부 사용자의 이해 부족으로 원치않는 제휴 프로그램 설치가 이루어지는 경우도 존재할 것입니다.

 

만약 사용자가 OpenCandy 광고 솔루션을 통해 배포되는 제휴 프로그램이 실수로 설치되지 않도록 사전에 차단하기 위해서 AhnLab V3 365 Clinic 보안 제품과 같은 웹 보안(URL/IP 차단) 기능을 이용해 보도록 하겠습니다.

우선 웹 보안 설정값에 "*.opencandy.com" URL 주소를 차단값으로 지정하여 추가하시기 바랍니다.

이후 MediaInfo 프로그램 설치를 진행하며 사용자가 지정한 사이트(*.opencandy.com)로 접근을 시도하는 부분을 차단하였다는 경고창이 생성되며, 실제 MediaInfo 프로그램 설치 과정에서 표시되어야 할 제휴 프로그램(Opera Browser) 화면이 표시되지 않고 다음 단계로 넘어가는 것을 확인할 수 있습니다.

 

이 과정에서 차단된 OpenCandy 서버 연결은 rundll32.exe 프로세스를 통해 접속을 시도하고 있다는 것을 차단 메시지를 통해 확인이 가능합니다.

이후 MediaInfo 프로그램 설치가 완료된 후에는 OpenCandy 서버 연결을 시도하는 rundll32.exe 프로세스를 찾아 종료해 주시면 더 이상의 차단 메시지는 표시되지 않습니다.

 

이런 방식으로 정상적인 프로그램 설치시 추가될 수 있는 OpenCandy 광고 솔루션이 노출되어 실수로 인해 또 다른 프로그램이 설치되는 부분을 사전에 차단할 수 있으므로 잘 활용하시기 바랍니다.