본문 바로가기

벌새::Analysis

군대 하극상 동영상으로 위장한 국내 애드웨어 유포

최근 살펴본 [K-Lite Codec Pack으로 위장한 국내 애드웨어 배포]와 동일한 애드웨어를 이번에는 작년 실제 군부대에서 발생한 것으로 보도된 군대 하극상 동영상으로 사용자를 유도하여 설치를 유도하는 것을 확인하였습니다.

블로그를 통하여 군대 하극상 동영상을 볼 수 있다고 속이면서, 특히 사용자가 100명에 한해서 해당 파일을 설치할 경우 다운로드가 가능하며 만약 100명이 넘으면 실제 파일을 설치하여도 볼 수가 없다는 자극적인 내용으로 빠른 설치를 요구합니다.

설치 방식은 이전에 살펴본 K-Lite Codec Pack과 설치 단계 화면이 유사한 것으로 보아 동일한 제작자에 의해 만들어진 것으로 추정됩니다.

해당 동영상은 프로그램 폴더(%ProgramFiles%) 내부에 군대하극상이라는 폴더에 설치되는 것으로 사용자를 속이고 있습니다.

설치는 빠른 속도로 진행되지만, 실제 해당 설치를 통해 이전에 살펴본 것과 동일한 국내 애드웨어 3종 세트가 특정 웹 서버를 통해 다운로드가 진행되고 사용자는 이를 쉽게 눈치채지 못하는 것으로 보입니다.

생성 폴더, 파일 정보

생성된 애드웨어는 K-Lite Codec Pack 내용을 참고하시기 바라며, 이번에 설치된 군대하극상 폴더에 포함된 텍스트 문서(※ 이용전 필독 ※.txt) 내용을 잠시 살펴보겠습니다.

해당 문서에서는 설치를 하였는데, 동영상이 존재하지 않는 경우를 이미 100회 이상의 다운로드로 인한 문제로 사용자를 우롱하며 해당 프로그램 설치로 인한 애드웨어의 존재를 눈치채지 못하게 하고 있습니다.

이 외에 임시폴더(%Temp%) 내에 Batty에서 배포하는 임시 파일 2개가 존재하는 것을 확인할 수 있습니다.

이들 프로그램은 Batty.exe 프로세스의 경우 특정 웹 서버를 통하여 추가적인 동작 또는 사용자의 키워드 정보 등을 외부로 노출할 수도 있어 보입니다.

특정인의 금전적 이득을 위해 사용자의 동의없이 설치되는 이들 애드웨어들은 현재 유명 프로그램 또는 이슈가 되는 자극적인 동영상 파일 및 ActiveX 방식 등 다양한 경로로 유포가 되고 있는 것으로 보입니다.

인터넷을 이용할 경우 특정 카페, 블로그, 게시판에서 제공하는 설치 파일을 함부로 설치하지 않도록 주의하시기 바라며, 프로그램은 반드시 공개 자료실이나 해당 제작사에서 다운로드하는 습관을 가지시기 바랍니다.


  • 우리 나라에서 군대는 악성코드에서 이용할 만큼 역시 여러 이슈를 만들어 낼 수 잇는 곳이 아닌가 생각합니다. ㅎㅎ

    안티버의 다음 위젯 오진은 해결되었다고 들었는데 오늘 들어오니 또 진단하는 군요.
    하기사 같은 위젯인데 스크립트 명이 다른 동일 위젯은 계속 오진 중이었으니 ~_~

    • 안티버는 변종에 강하잖아요.ㅎㅎ

      정말 오진 신고를 해도 다음날이면 또 진단하는 문제는 아마 진단명 자체가 gen 진단이라서 그런게 아닐까 생각됩니다.