본문 바로가기

벌새::Analysis

Windows 10 정품 인증 크랙을 이용한 유튜브(YouTube) 광고 수익 유발 사례 (2017.5.2)

반응형

바이러스 제로 시즌 2 보안 카페 회원님이 블로그에서 다운로드한 Windows 10 정품 인증 크랙이 수상하다는 제보를 해주셔서 확인을 해 본 내용을 살펴보도록 하겠습니다.

 

우선 유포 경로를 확인해보면 특정 검색 키워드를 이용하여 다음(Daum) 검색을 할 경우 블로그 최상위에 노출되는 것을 알 수 있습니다.

 

 

블로그에 게시된 글에서는 Windows 10 정품 인증 크랙 파일이 EGG 압축 파일로 첨부되어 있으며, 백신 탐지를 하지 못하도록 비밀번호로 보호되어 있는 상태입니다.

 

  • 윈도우 10 정품인증 크랙.exe (SHA-1 : 174d16db6f5c2760842168829a2f51963a2309d9 - Kaspersky : not-a-virus:RiskTool.Win32.HackKMS.i)

 

압축 파일 내부에 존재하는 실행 파일을 백신에서 탐지하여도 사용자들은 크랙(Crack) 파일이므로 대부분 무시할 것입니다.

 

 

반드시 관리자 권한으로 실행하여 설치를 진행해야지 정상적으로 진행되며, 설치 화면 상에서는 설치 폴더에 다음과 같은 파일을 생성하는 것으로 끝납니다.

 

 

  • KMSAuto Net.exe (SHA-1 : 3fd1cc0f32e92ad2592f5fc5339e06a67f600a21 - AhnLab V3 : Unwanted/Win32.HackTool.C967137)

 

생성된 KMSAuto Net.exe 파일은 인터넷 상에서 공개된 정품 인증 크랙 파일은 분명한데, 다른 크랙과는 다르게 "원클릭 컴터 개빨라짐.reg" 레지 파일이 포함되어 있는 것이 특징입니다.

 

 

레지 파일(.reg)에 등록된 코드를 확인해보면 Internet Explorer 웹 브라우저의 홈 페이지와 검색 페이지 영역을 특정 유튜브(YouTube) 주소로 변경할 목적으로 만들어진 것으로 보입니다.

 

하지만 사용자가 해당 파일을 실행하지 않는 한 실제 웹 브라우저 설정값을 변경할 수 없는데, 앞서
"윈도우 10 정품인증 크랙.exe" 파일을 실행하는 과정에서 사용자 몰래 다음과 같은 파일 추가 및 레지스트리 변경 행위가 이루어집니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\Administrator
C:\Users\Administrator\AppData
C:\Users\Administrator\AppData\Roaming
C:\Users\Administrator\AppData\Roaming\Microsoft
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\원클릭 컴터 개빨라짐.reg

 

생성 / 변경된 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 :: 변경 전(기본값)
 - Search Page = https://www.youtube.com/watch?v=0e-bWiQbqag&list=LLD8VeBYqPovGqEREblj1hsA :: 변경 후

 

 - Start Page = <사용자 지정 홈 페이지 URL 주소> :: 변경 전
 - Start Page = https://www.youtube.com/watch?v=0e-bWiQbqag&list=LLD8VeBYqPovGqEREblj1hsA :: 변경 후

 

 - Start Page Redirect Cache = https://www.youtube.com/watch?v=0e-bWiQbqag&list=LLD8VeBYqPovGqEREblj1hsA :: 추가

 

 

해당 정품 인증 크랙 파일을 실행할 경우 Administrator 사용자 계정명으로 폴더를 생성한 후 시작 메뉴(Start Menu) 영역에 "원클릭 컴터 개빨라짐.reg" 레지 파일을 추가합니다.

 

참고로 사용자 계정명을 Administrator으로 사용하는 PC 환경에서는 추가 폴더 생성없이 시작 메뉴 영역에 레지 파일을 생성합니다.

 

또한 해당 파일 제작자는 PC 지식이 부족한 관계로 부정확한 위치에 레지 파일(.reg)을 생성하여 실제 부팅 시마다 매번 등록하도록 하지는 못하였습니다.

 

하지만 최초 정품 인증 크랙을 실행하였기 때문에 1회에 한하여 홈 페이지와 검색 페이지 영역을 유튜브(YouTube) 링크로 변경을 할 수 있습니다.

 

 

이로인하여 Internet Explorer 웹 브라우저를 실행 시 특정 유튜브(YouTube) 주소로 홈 페이지 변경을 시도하는 것을 볼 수 있습니다.

 

 

만약 사용자가 홈 페이지 변경을 허용할 경우 Internet Explorer 웹 브라우저 실행 시 자동으로 LOL 헬퍼 관련 유튜브(YouTube) 영상으로 연결되어 재생이 이루어지며, 현재 기준으로 110만 이상 조회가 이루어졌습니다.

 

그렇다면 왜 이런 파일을 제작하여 유포했는지 유추해보면 Windows 10 정품 인증 크랙 파일을 블로그에 첨부한 주소와 유튜브(YouTube) 동영상 채널 소유자가 일치한다는 점에서 동영상 재생을 증가시켜 광고 수익을 얻기 위함으로 추정됩니다.

 

인터넷 상에서 불법적인 파일을 다운로드하여 실행할 경우에는 백신 탐지를 상당수 무시한다는 점에서 추가적인 악성코드 감염에 노출될 수 있으므로 매우 주의하시기 바랍니다.

728x90
반응형