본문 바로가기

벌새::Analysis

MediaFire 파일 공유 서비스를 이용한 국내 제휴 프로그램 배포 사례 (2016.9.29)

반응형

인터넷 사용자들이 많이 검색하여 설치할 수 있는 다양한 소프트웨어 다운로더 파일을 제작하여 사용자의 부주의한 실수를 통해 다수의 광고 프로그램을 자동으로 설치하는 배포 방식은 블로그를 통해 간간히 소개하고 있습니다.

 

이번에는 해외 MediaFire 파일 공유 서비스에 파일을 업로드한 후 네이버(Naver) 블로그를 통해 배포하는 사례를 간단하게 살펴보도록 하겠습니다.

 

CD스페이스(CDSpace) 가상 드라이브 프로그램을 소개하면서 MediaFire 파일 공유 서비스 URL 링크를 제공하는 최근에 작성된 게시글을 발견할 수 있습니다.

 

MediaFire 주소로 접속을 하면 ZIP 압축 파일로 업로드된 CDSpace 파일이 게시글 작성 하루 전에 업로드된 것을 확인할 수 있습니다.

 

 

파일 다운로드를 통해 ZIP 압축 파일 내에 존재하는 "Tech Joy Co." 디지털 서명이 포함된 CDspace8.exe 파일(SHA-1 : 2d8890884f39348ba23b882770f6c344e9a9a93a)을 살펴보면 2016년 4월 28일경 배포가 시작된 것을 알 수 있습니다.

 
 
참고로 "Tech Joy Co." 디지털 서명이 포함된 국내 광고 프로그램 배포 사례는 기존에도 소개한 적이 있으며, 당시에는 다운로드 서버를 직접 운영하였지만 차단 문제로 이제는 공용 파일 공유 서비스를 이용하는 것으로 보입니다.
 

다운로드된 CDspace8.exe 파일을 실행할 경우 특정 서버에 등록된 다수의 제휴 프로그램 구성 정보를 받아오는 것을 알 수 있습니다.

 

 

이를 통해 화면상으로는 다운로드 창이 생성되며 우측 하단 영역에 매우 좁은 1줄짜리 영역에 다수의 국내 광고 프로그램 목록이 체크된 상태로 숨어있는 것을 발견할 수 있습니다.

 

만약 사용자가 해당 체크값을 그대로 유지한 상태로 CDSpace 다운로드를 진행할 경우 자동으로 9종의 광고 프로그램이 화면에 표시되지 않는 방식으로 자동 설치될 수 있습니다.

 

(1) 기본 검색 공급자를 가로채는 "주소창 검색" 광고 프로그램 (2016.7.25)

 

  • h**p://filedownload.win***.kr/ipagentsetup_052.exe (SHA-1 : 2ffde63fb0f23c022d791d0bc027270bdd2c38de - Hauri ViRobot : Adware.Agent.823544[h])
"INDOIT Co., Ltd." 디지털 서명이 포함된 주소창 검색 프로그램은 인터넷 검색 시 네이트(Nate) 검색 결과로 연결되는 광고 프로그램입니다.
 
 
  • h**p://down.key****info.co.kr/ISZoneSetup_66_hide.exe (SHA-1 : 2814130c04a6b5eda96412ca077416f6875eec61 - AhnLab V3 365 Clinic : PUP/Win32.Helper.R34339)
"Gaia Media Group Inc." 디지털 서명이 포함된 InternetSafeZone 광고 프로그램은 숨김(H) 속성 폴더로 지정된 "C:\Program Files\ISZone" 폴더 내에 파일을 설치하여 자신을 숨기고 있으며, 외형적으로는 유해 사이트 차단 프로그램처럼 보이지만 인터넷 검색 시 다수의 광고창을 자동 생성할 수 있습니다.
 
 
  • h**p://dn.smart***ress.co.kr/smartaddress/setup/Launcher_UTILSA.exe (SHA-1 : af15acc041573514960afbd30a218aa8316966a0 - Kaspersky : Trojan-Clicker.Win32.Agent.cjqp)
  • <추가 다운로드> h**p://dn.smart***ress.co.kr/smartaddress/setup/UTILSA_SETUP.exe (SHA-1 : 48b3dbc00d0e4703475d942d5076a47e99ed85c8 - Avira : TR/Adkor.dzoch)
"드림소프트 (Dream Soft)" 디지털 서명이 포함된 KTH SmartAddress 광고 프로그램은 Internet Explorer 웹 브라우저의 주소 표시줄을 이용한 인터넷 검색 시 제휴 코드가 포함된 형태로 접속되도록 제작되었습니다.
 
 
  • h**p://m.***icons.com/agree_set/poten2.exe (SHA-1 : 9b3d9aa348dab61cbee72a93056793e85c8577fe - AhnLab V3 365 Clinic : PUP/Win32.CloverPlus.C616307)
"Rainnd Inc" 디지털 서명이 포함된 "Windows Desktop MBT Icons Ver 6.1.1.4" 광고 프로그램은 기본적으로 바로가기 아이콘 생성 기능 이외에 사용자 몰래 백그라운드 방식으로 인터넷 검색 활동을 진행할 수 있습니다.
 
 
  • h**p://download.net****express.co.kr/godzilla/install/nae_install.exe (SHA-1 : 807b2ca6aed155652b7c4a98002a049d98b1275c)
JWSOFT 디지털 서명이 포함된 "Network Application Express" 광고 프로그램은 설치 시 특정 명령어를 통해 다양한 폴더 및 프로그램 이름으로 설치될 수 있으며, 특히 제어판에 표시되지 않는 방식으로 자신의 존재를 숨기는 것으로 확인되고 있습니다.
 
 
  • h**p://www.mi***names.co.kr/download/DreamApp/3247/CoopDrt.exe (SHA-1 : 8c4446b9120d1550aadb27febbf25204de00801f - ESET : a variant of Win32/Adware.Hebogo)
"Micronames Corp," 디지털 서명이 포함된 "Windows Internet Explorer Smart Service" 광고 프로그램은 인터넷 검색 시 자동으로 광고창을 생성할 수 있습니다.
 
 
  • h**p://down.tops**on.com/setup_tops01_silent.exe (SHA-1 : 691613101516c704e6689d94ef50bc30935befb6 - AhnLab V3 365 Clinic : PUP/Win32.WindViewer.C1324898)
neomedia 디지털 서명이 포함된 "Windows Application TopsAdon" 광고 프로그램은 기본적으로 광고창 생성 및 특정 사이트 접속 시 제휴 코드가 포함될 수 있으며, 특히 Windows 보안 기능을 악의적으로 수정하는 기능이 포함되어 있습니다.
 
 
  • h**p://down.***bora.com/app/pd/webbora_cope_inst.exe (SHA-1 : f0b9f59f95263003e1f512d3c7d180d3ecf91b57 - AhnLab V3 365 Clinic : PUP/Win32.Mopop.R96219)
"Internet webbora web" 광고 프로그램은 Windows 부팅 시 구글 애드센스 광고창 및 인터넷 검색 시 광고창을 생성할 수 있습니다.
 
 
  • h**p://file.m**k.co.kr/app/windowstab/WindowsTabSetup_downrealm.exe (SHA-1 : 298f8b2a3f08b65110576d1ddffbf74f37eb0b4b - AhnLab V3 365 Clinic : PUP/Win32.WindowsTap.C169475)
  • <추가 다운로드> h**p://file.m**k.co.kr/app/windowstab/windowstab/windowstab_ins.exe (SHA-1 : 8b5d19a3426fcc53b8c84febdf98468eba3f4418 - Kaspersky : Trojan.Win32.Agent.ahamg)
"DOTPITCH.INC" 디지털 서명이 포함된 WindowsTab 광고 프로그램은 인터넷 검색 시 추가적인 광고탭을 생성할 수 있습니다.
 
위와 같이 "Tech Joy Co." 디지털 서명이 포함된 광고 배포용 파일(Downloader_Demo.exe)은 지속적으로 다양한 배포 방식으로 사용자가 파일을 다운로드하여 실행하도록 유도하고 있으며, 특히 이런 류의 파일은 국내외 백신 프로그램에서 전혀 진단이 이루어지지 않을 가능성이 매우 높으므로 사용자가 조심할 수 밖에 없습니다.
728x90
반응형