다수의 광고 프로그램을 단 한 번의 클릭으로 화면에 표시되지 않고 자동으로 설치되도록 하는 것은 광고 유포 조직이 원하는 설치 방식입니다.
실제로 소프트웨어 설치를 위해 인터넷 검색을 통해 특정 블로그를 방문하여 파일을 다운로드하여 설치하는 과정에서 사용자의 부주의로 인하여 다수의 광고 프로그램이 자동으로 설치되는 피해를 당하는 사례가 많습니다.
그 중에서 2014년 전후부터 현재까지 운영되고 있는 "Tech Joy Co." 디지털 서명이 포함된 광고 배포 파일 유포 조직은 다수의 도메인을 사용하는 파일 서버을 통해 꾸준하게 활동하고 있습니다.
해당 유포 조직이 다수의 광고 프로그램을 어떻게 사용자로 하여금 설치하게 하는지는 이전에 소개한 적이 있기에 이 부분은 생략하고 광고 배포 파일에서 발견된 프로그램 데이터베이스 파일(.pdb)에 포함된 구글(Google)을 향한 욕설이 포함된 원인에 대해 간단하게 살펴보겠습니다.
2017년 2월경에 배포가 시작된 WinRAR 한글판 파일로 위장하여 실행을 유도하는 파일(SHA-1 : 71461961d587746f358a98b0feb2a414b0e59cdf)을 확인해보면 대부분의 백신이 전혀 진단하지 않는 것을 알 수 있습니다.
그런데 해당 파일 내부에는 "\tlqkfrnrmfTidshatoRlemf44\Release\Downloader_Demo.pdb" 코드가 포함되어 있으며, tlqkfrnrmfTidshatoRlemf44 문자는 "시발구글썅놈새끼들44"라는 욕설로 제작되어 있는 것을 알 수 있습니다.
구글(Google) 업체에서는 백신을 통한 차단도 하지 못하는데 왜 이런 문구를 추가하였을까요?
해당 광고 배포 파일을 다운로드할 수 있는 특정 블로그를 살펴보면 WinRAR 한글판 다운로드 파일을 광고 조직이 운영하는 파일 서버에서 다운로드하는 것을 알 수 있습니다.
- bitaminbox.com
- blogdownloader.net
- downlaoding.net
- filedori.net
- filetoong.com
- freedownloade.net
- gameutil.com
- itstorydownload.com
운영되는 파일 서버에 사용자가 직접 접속할 경우에는 국내 포털 사이트로 리다이렉트를 시켜서 자신의 존재를 최대한 숨기고 있는 특징이 있습니다.
우선 Internet Explorer 또는 Microsoft Edge 웹 브라우저로 광고 배포 파일을 다운로드할 경우에는 SmartScreen 탐지없이 정상적으로 파일 다운로드가 이루어져서 설치가 진행되도록 유도할 수 있습니다.
하지만 Google Chrome 웹 브라우저를 이용하여 파일 다운로드를 진행할 경우 "이 파일은 위험하므로 Chrome에서 차단했습니다." 메시지와 함께 중지(삭제)만 가능한 것을 알 수 있으며, 해당 차단은 기본 설정으로 되어 있는 Chrome 웹 브라우저의 "위험한 사이트로부터 사용자와 기기 보호" 옵션이 활성화(ON)된 경우 차단됩니다.
이런 Chrome 웹 브라우저 보안 기능으로 인해 "Tech Joy Co." 광고 유포 조직은 구글(Google) 업체에 대해 욕설이 포함된 형태로 파일을 제작한 것으로 보입니다.
만약 사용자가 Internet Explorer 또는 MS Edge 웹 브라우저를 통해 광고 배포 파일을 다운로드하여 실행할 경우 외형적으로는 WinRAR 한글판 설치 파일을 바탕 화면에 다운로드하지만 제휴 프로그램 항목에 숨어있는 최소 10종의 국내 광고 프로그램이 백그라운드 방식으로 자동 설치되어 다양한 광고창 생성 또는 사용자 몰래 다양한 웹 사이트 접속을 통해 속도 저하를 유발할 수 있습니다.
특히 이렇게 자동 설치된 광고 프로그램 중에는 사용자에 의한 프로그램 제거를 방해할 목적으로 자신을 숨기거나 추가적인 광고 프로그램 설치가 이루어질 수 있으며, 일부는 Windows 운영 체제의 보안 기능을 약화시킬 수 있습니다.
그러므로 소프트웨어 또는 게임과 같은 특정 파일을 인터넷 검색을 통해 다운로드하여 실행할 경우 백신에서 진단하지 않는다는 이유로 안심하지 않도록 각별히 주의하시기 바랍니다.