본문 바로가기

벌새::Analysis

구글(Google)을 욕하는 국내 "Tech Joy Co." 광고 유포 조직 (2017.8.5)

반응형

다수의 광고 프로그램을 단 한 번의 클릭으로 화면에 표시되지 않고 자동으로 설치되도록 하는 것은 광고 유포 조직이 원하는 설치 방식입니다.

 

실제로 소프트웨어 설치를 위해 인터넷 검색을 통해 특정 블로그를 방문하여 파일을 다운로드하여 설치하는 과정에서 사용자의 부주의로 인하여 다수의 광고 프로그램이 자동으로 설치되는 피해를 당하는 사례가 많습니다.

 

 

그 중에서 2014년 전후부터 현재까지 운영되고 있는 "Tech Joy Co." 디지털 서명이 포함된 광고 배포 파일 유포 조직은 다수의 도메인을 사용하는 파일 서버을 통해 꾸준하게 활동하고 있습니다.

 

 

해당 유포 조직이 다수의 광고 프로그램을 어떻게 사용자로 하여금 설치하게 하는지는 이전에 소개한 적이 있기에 이 부분은 생략하고 광고 배포 파일에서 발견된 프로그램 데이터베이스 파일(.pdb)에 포함된 구글(Google)을 향한 욕설이 포함된 원인에 대해 간단하게 살펴보겠습니다.

 

 

2017년 2월경에 배포가 시작된 WinRAR 한글판 파일로 위장하여 실행을 유도하는 파일(SHA-1 : 71461961d587746f358a98b0feb2a414b0e59cdf)을 확인해보면 대부분의 백신이 전혀 진단하지 않는 것을 알 수 있습니다.

 

그런데 해당 파일 내부에는 "\tlqkfrnrmfTidshatoRlemf44\Release\Downloader_Demo.pdb" 코드가 포함되어 있으며, tlqkfrnrmfTidshatoRlemf44 문자는 "시발구글썅놈새끼들44"라는 욕설로 제작되어 있는 것을 알 수 있습니다.

 

구글(Google) 업체에서는 백신을 통한 차단도 하지 못하는데 왜 이런 문구를 추가하였을까요?

 

 

해당 광고 배포 파일을 다운로드할 수 있는 특정 블로그를 살펴보면 WinRAR 한글판 다운로드 파일을 광고 조직이 운영하는 파일 서버에서 다운로드하는 것을 알 수 있습니다.

 

  1. bitaminbox.com
  2. blogdownloader.net
  3. downlaoding.net
  4. filedori.net
  5. filetoong.com
  6. freedownloade.net
  7. gameutil.com
  8. itstorydownload.com

 

운영되는 파일 서버에 사용자가 직접 접속할 경우에는 국내 포털 사이트로 리다이렉트를 시켜서 자신의 존재를 최대한 숨기고 있는 특징이 있습니다.

 

 

우선 Internet Explorer 또는 Microsoft Edge 웹 브라우저로 광고 배포 파일을 다운로드할 경우에는 SmartScreen 탐지없이 정상적으로 파일 다운로드가 이루어져서 설치가 진행되도록 유도할 수 있습니다.

 

 

하지만 Google Chrome 웹 브라우저를 이용하여 파일 다운로드를 진행할 경우 "이 파일은 위험하므로 Chrome에서 차단했습니다." 메시지와 함께 중지(삭제)만 가능한 것을 알 수 있으며, 해당 차단은 기본 설정으로 되어 있는 Chrome 웹 브라우저의 "위험한 사이트로부터 사용자와 기기 보호" 옵션이 활성화(ON)된 경우 차단됩니다.

 

이런 Chrome 웹 브라우저 보안 기능으로 인해 "Tech Joy Co." 광고 유포 조직은 구글(Google) 업체에 대해 욕설이 포함된 형태로 파일을 제작한 것으로 보입니다.

 

 

만약 사용자가 Internet Explorer 또는 MS Edge 웹 브라우저를 통해 광고 배포 파일을 다운로드하여 실행할 경우 외형적으로는 WinRAR 한글판 설치 파일을 바탕 화면에 다운로드하지만 제휴 프로그램 항목에 숨어있는 최소 10종의 국내 광고 프로그램이 백그라운드 방식으로 자동 설치되어 다양한 광고창 생성 또는 사용자 몰래 다양한 웹 사이트 접속을 통해 속도 저하를 유발할 수 있습니다.

 

특히 이렇게 자동 설치된 광고 프로그램 중에는 사용자에 의한 프로그램 제거를 방해할 목적으로 자신을 숨기거나 추가적인 광고 프로그램 설치가 이루어질 수 있으며, 일부는 Windows 운영 체제의 보안 기능을 약화시킬 수 있습니다.

 

그러므로 소프트웨어 또는 게임과 같은 특정 파일을 인터넷 검색을 통해 다운로드하여 실행할 경우 백신에서 진단하지 않는다는 이유로 안심하지 않도록 각별히 주의하시기 바랍니다.

728x90
반응형
  • 비밀댓글입니다

  • ㅎㅎㅎㅎㅎ 아...ㅠ.ㅜ 한참 웃고갑니다~! 즐거운 한주 되세요~^^

  • 구글에 문의 메일 보내려고 해외 포럼까지 뒤졌는데 없어서 욕했던 기억이 오버랩 되는군요...
    외국인들도 다 욕하던데 ㅋㅋ

  • 정말 구글을 싫어하긴 하나보군요. 폴더명이 ㅋㅋ

  • 컴컴 2018.07.25 15:20 댓글주소 수정/삭제 댓글쓰기

    부주의로 컴퓨터에 광고 프로그램이 깔렸는데 어떻게 지우나요???ㅜㅜ

  • 매일힘들어 2021.02.03 09:26 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 저도 모르고 자바프로그램이 급해서 다운받은후 ㅠ.ㅠ

    jaba_downloader.exe 대충 이렇게 파일명이 된건데요.

    클릭하니까 본문에 올려주신 화면처럼 다운로더 방식으로 뜨더니

    전송시작 버튼 뜨길래 몬가 이상해서 그냥 취소하고 닫았는데요 ㅡ,ㅡ;;

    이런경우도 감염이 된건지요;; 부랴부랴 백신 결제하고 멀웨어 바이트부터

    시작해서 노턴등 다돌려봤는데 다행이 바이러스나 악성코드 발견된건

    없는데 ㅠ.ㅠ 본문에서 올리셨듯이 실행후 파일 전송까지 받고 그 파일들

    을 실행해야 저런 바이러스에 감염된다는 것인가요??

    궁금하네요;;; 참고로 링크 올립니다 ㅠ.ㅠ 한번 확인해주실수있으신가요 ㅠ.ㅠ

    https://cat-of-coldcity.tistory.com/403

    여기서 다운받은 파일입니다;;

    이사람들 정체가 모죠;;; 바이러스 토탈 돌려보니

    아마테우스?? 멀웨어 등등 검출되긴 하던데;;;

    에휴 ㅠ.ㅠ 찝찝하네요 ;;

    바쁘실텐데 두서없는 글 죄송합니다 ㅠ.ㅠ