최근 메일로 문의가 들어온 해외 사이트에서 배포되는 파일 다운로드 기능을 가진 SrpnFiles 프로그램의 배포 방식에 대해 전반적으로 살펴보도록 하겠습니다.
특정 파일 다운로드 목적으로 인터넷 검색을 통해 접속한 사이트에서는 RAR, ZIP 압축 파일 형태로 배포되는 다운로드 링크가 노출되는 것을 볼 수 있습니다.
Microsoft Edge 웹 브라우저를 이용하여 파일 다운로드를 진행할 경우 The_Incident_2014.rar.iso 파일을 다운로드하는 것을 확인할 수 있습니다.
그런데 Windows 기본값에서는 "알려진 파일 형식의 파일 확장명 숨기기" 항목이 체크된 상태로 설치되므로 파일 탐색기에서는 ISO 이미지 파일이 아닌 RAR 압축 파일로 오해를 유발할 수 있습니다.
특히 ISO 이미지 파일 처리를 지원하지 않는 압축 프로그램 사용자 또는 Windows 파일 처리 방식으로 진행될 경우 Windows 8, Windows 8.1, Windows 10 운영 체제는 ISO 이미지 파일을 Windows 탐색기에서 직접 처리하도록 되어 있습니다.
이로인하여 다운로드한 ISO 파일을 RAR 압축 파일로 생각하여 실행할 경우 그림과 같이 내부에 존재하는 또 다른 RAR 압축 파일이 노출되는 것을 확인할 수 있습니다.
여기에서 주목할 점은 2가지로 ① 오픈된 경로는 Microsoft 가상 DVD-ROM 드라이브이며 ② RAR 압축 확장명으로 표시되는 파일은 응용 프로그램(EXE)이라는 점입니다.
Windows 10 운영 체제의 기본 설정값 그대로 ISO 이미지 파일을 처리한 경우에는 위와 같이 Microsoft 가상 DVD-ROM 드라이브가 일시 생성되어 내부 파일을 파일 탐색기를 통해 볼 수 있도록 동작합니다.
이런 상태에서 사용자가 가상 드라이브로 로딩된 부분을 제대로 인지하지 못하여 최초 다운로드한 The_Incident_2014.rar.iso 파일을 삭제하려고 할 경우 삭제가 이루어지지 않습니다.
이런 경우에는 반드시 사전에 ISO 이미지 파일을 로딩하고 있는 Microsoft 가상 DVD-ROM 드라이브를 찾아 마우스 우클릭을 통해 "꺼내기"를 한 후 The_Incident_2014.rar.iso 이미지 파일을 삭제하셔야 합니다.
또한 이러한 2중으로 작성된 파일 확장명 방식에 속지 않도록 폴더 옵션에서 "알려진 파일 형식의 파일 확장명 숨기기" 체크 박스를 해제하시고 사용하시기 바랍니다.
그렇다면 ISO 이미지 파일에 압축되어 있는 The_Incident_2014.rar.exe 실행 파일(SHA-1 : fc0ff020443c5bccbc11f97d8bdc7fddcab6a308 - AhnLab V3 365 Clinic : PUP/Win32.Bundler.R181840)은 무엇인지 확인해 보겠습니다.
우선 해당 설치 파일은 "Parrot Life LLC" 디지털 서명이 포함되어 있지만 인증서를 검증할 수 없는 불량한 상태임을 알 수 있습니다.
파일을 실행할 경우 SpringFiles 프로그램 설치를 위해 "Start Download" 버튼을 클릭하도록 안내하고 있습니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Program Files\SrpnFiles
|
|
생성 파일 진단 정보 |
|
C:\Program Files\SrpnFiles\downloader.exe
C:\Program Files\SrpnFiles\SrpnFiles.exe
C:\Program Files\SrpnFiles\Uninstall.exe
|
SrpnFiles 이름으로 설치된 프로그램은 x86 환경에서는 "C:\Program Files\SrpnFiles" 폴더에 설치되며, x64 환경에서는 "C:\Program Files (x86)\SrpnFiles" 폴더에 관련 파일들을 생성합니다.
실행된 프로그램은 검색 기능을 통해 해외 특정 토렌트(Torrent) 사이트에서 제공하는 영화, TV 드라마, 음악, 게임, 소프트웨어, 도서 등의 검색 결과를 제공하여 파일 다운로드를 지원하고 있습니다.
또한 원활한 파일 다운로드 목적으로 자동으로 Windows 방화벽에 SrpnFiles 앱을 추가하도록 설정되어 있습니다.
프로그램 제거는 제어판의 "프로그램 및 기능" 항목에 등록된 "SrpnFiles" 삭제 항목을 실행하여 제거할 수 있습니다.
참고로 프로그램 제거 시 생성되는 안내창에서는 "Uninstall Spring Files" 버튼을 클릭하시기 바라며, 프로그램 제거 후에는 추가적으로 "C:\Users\(로그인 계정명)\AppData\Roaming\SpringFiles" 폴더를 찾아 직접 삭제하시기 바랍니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\SrpnFiles
|
SrpnFiles 프로그램 자체 기능은 사용자가 직접 실행하여 파일 다운로드를 할 수 있는 일반적인 프로그램이지만, 최초 파일 다운로드를 통해 사용자의 실수를 유발하여 설치를 유도하는 과정은 매우 주의할 필요가 있습니다.
만약 설치 시 추가적인 제휴 프로그램이 포함되어 있다면 클릭 한 번으로 다수의 원치않는 광고 프로그램이 설치될 수 있으므로 실행하는 파일의 확장명을 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.