본문 바로가기

벌새::Analysis

광고 업체 서명이 포함된 던파스킨 프로그램과 광고 배너 (2016.9.13)

반응형

최근 던전앤파이터 커뮤니티 카페를 통해 배포가 이루어지고 있는 던파스킨 프로그램이 광고 업체와 연관된 부분이 있어 살펴보도록 하겠습니다.

 

 

동일한 매니저에 의해 운영되는 네이버(Naver) 카페 2곳에서는 던파스킨런처 프로그램 링크를 제공하고 있는데 URL 주소가 기존에 확인되고 있는 광고 업체와 연관된 것으로 보여서 조사를 진행하게 되었습니다.

 

 

다운로드된 던파스킨 설치 파일(SHA-1 : 3bcadca7f78ca93a2e656c0a7a92fd7b7d3ae1b6 - BitDefender : Gen:Variant.Adware.Graftor.1190)에는 "INDOIT Co., Ltd." 디지털 서명이 포함되어 있습니다.

 

 

해당 디지털 서명과 연관된 국내 광고 프로그램은 2015년경부터 발견되고 있으며, 그 이전에도 2011년 전후부터 다수의 광고 프로그램을 운영한 것으로 보입니다.

 

 

던파스킨 프로그램 설치 과정에서는 추가적인 제휴 프로그램이 포함되어 있는 부분은 발견되지 않고 있습니다.

 

 

하지만 제시된 이용약관 상에서는 차후 업데이트 기능을 통해 추가적인 광고 프로그램을 제공할 수도 있을 것으로 보입니다.

 

생성 폴더 / 파일 등록 정보

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DunfaSkin
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DunfaSkin\DunfaSkin.lnk
C:\Users\%UserName%\AppData\Roaming\DunfaSkin
C:\Users\%UserName%\AppData\Roaming\DunfaSkin\dfAgree.txt
C:\Users\%UserName%\AppData\Roaming\DunfaSkin\DunfaSkin.exe :: 시작 프로그램(DunfaSkin) 등록 파일, "던파스킨 런처" 프로그램 실행 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\DunfaSkin\title.bmp
C:\Users\%UserName%\AppData\Roaming\DunfaSkin\unins000.dat
C:\Users\%UserName%\AppData\Roaming\DunfaSkin\unins000.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\AppData\Roaming\DunfaSkin\unins000.msg
C:\Users\Public\Desktop\던파스킨 런처.lnk

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\DunfaSkin\DunfaSkin.exe
 - SHA-1 : b6a751dc88994140bc87fba60a112f5ca242b289
 - Malwarebytes : Adware.SafeTerra

 

 

"INDOIT Co., Ltd." 디지털 서명이 포함된 던파스킨 프로그램은 "C:\Users\%UserName%\AppData\Roaming\DunfaSkin" 폴더에 파일을 생성합니다.

 

Windows 시작 시 DunfaSkin 시작 프로그램 등록값을 통해 ["C:\Users\%UserName%\AppData\Roaming\DunfaSkin\dunfaskin.exe" /l] 파일을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 DunfaSkin.exe 파일은 프로그램 실행 및 업데이트 체크를 수행하며, 현재로서는 추가적인 제휴 프로그램 설치와 관련된 부분은 발견되지 않고 있습니다.

 

 

던파스킨 프로그램에 올라온 공지를 통해 유추해보면 던전앤파이터 커뮤니티 카페 매니저가 직접 운영하는 프로그램이 아닌 외부에서 제작하여 공급하는 것으로 보이며, 해당 프로그램 제작자와 관련된 조사를 해보면 아프리카TV, Daum 카페 등에서 대규모로 온라인 게임(리니지, 던전앤파이터)과 연관된 콘텐츠를 운영하는 것으로 보입니다.

 

특히 던파스킨 우측 영역에 노출된 불법적인 리니지 작업장 사이트 광고 배너를 노출하는 것이 어쩌면 던파스킨 프로그램 운영의 주목적일 가능성도 있어 보입니다.

 

 

실제로 던파스킨 프로그램에 노출된 광고 배너는 프로그램 창을 종료하는 시점에서 부팅 후 1회 자동으로 사이트로 연결되도록 제작되어 있습니다.

 

 

연결된 리니지 작업장 운영 사이트를 조사해보면 다음과 같은 중국(China)인으로 추정되는 인물이 등록한 것을 확인할 수 있습니다.

 

Registrant Name: zhang wangli zhang wangli
Registrant Organization: zhang wangli
Registrant Street: chao yangquyabaolu23hao
Registrant City: beijing
Registrant State/Province: Beijing
Registrant Postal Code: 100000
Registrant Country: CN
Registrant Phone: +86.01045981238
Registrant Phone Ext:
Registrant Fax: +86.01045981238
Registrant Fax Ext:
Registrant Email: liangzhupin@126.com

특히 해당 사이트 등록자는 2014년경부터 현재까지 수십개의 도메인을 통해 다음과 같은 사이트 운영과 연계되어 있습니다.

 

 

사이트 대부분은 불법·유해 정보 사이트로 차단된 불법 의약품 판매 사이트 또는 정상적으로 연결되는 불법 도박 사이트 외에도 고가(高價)의 가방을 판매하는 의심스러운 사이트를 소유하고 있습니다.

 

아무튼 불법적인 리니지 작업장 운영 사이트를 홍보할 목적으로 3,000시간 넘게 방송되고 있는 아프리카TV 방송국을 비롯하여 카페, 게임 관련 프로그램에 포함된 광고 배너 등으로 국내에서 활동하는 것으로 보입니다.

 

던파스킨 프로그램 제거 방법

 

던파스킨 프로그램 자체는 스킨 제작 의뢰 게시판을 사용할 수 있는 단순 기능이며, 오히려 불법적인 사이트 홍보 프로그램으로 판단되므로 제거를 원하시는 분들은 다음과 같은 절차에 따르시기 바랍니다.

 

(a) 작업 표시줄 알림 영역에 표시된 던파스킨 아이콘을 종료하시거나 작업 관리자에서 DunfaSkin.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "던파스킨 1.0.1.5" 프로그램을 찾아 제거하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\DunfaSkin
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - DunfaSkin = "C:\Users\%UserName%\AppData\Roaming\DunfaSkin\dunfaskin.exe" /l
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F73F2B89-1307-414D-967F-21E8B3650AD8}_is1

 

 

 

예전에도 광고 업체와 제휴된 게임 관련 프로그램이 발견된 적이 있다는 점에서 이번도 비슷한 사례가 아닐까 싶습니다.

728x90
반응형