본문 바로가기

벌새::Analysis

구글 스폰서 링크에 등록된 가짜 백신 - SpywareSTOP

반응형
세계 최대 검색 엔진은 사용자에게 원하는 정보에 접근할 수 있는 기회를 제공한다는 장점이 있지만, 악의적인 파일을 유포하는 입장에서도 구글처럼 좋은 유포 경로를 잘 활용한다는 점도 잊지 말아야겠습니다.

구글(Google)에서 제공하는 스폰서 링크(Sponsor Link)를 통해 현재 국내외 보안제품에서 가짜 백신(Rogue AV)으로 진단하는 예를 살펴보도록 하겠습니다.


구글에서 해외에서 제작된 가짜 백신 SpywareSTOP이라는 제품에 대한 검색을 시도할 경우 위의 그림과 같이 스폰서 링크로 해당 제품이 강조가 되어서 맨 상단에 표기가 되고 있습니다.

재미있는 것은 해당 제품의 공식 사이트(Official SpywareBot) 하단에 위치한 또 다른 광고 링크입니다.

해당 광고 문구는 "Don't Buy Spyware Stop"로 표기되어 있는데, 즉 "SpywareSTOP 제품을 구입하지 마세요"로 시선을 사로잡아 해당 링크로 접근을 유도하는 것으로 보입니다.

실제 두 스폰서 링크를 클릭하면 모두 SpywareSTOP 사이트로 이동을 하므로 구글 웹 상에서 표기된 SpywareStop.TheDiscount.org 도메인은 존재하지 않는 것으로 확인이 됩니다.


상당히 지능적으로 광고를 하고 있는 이 제품은 실제 해당 사이트에서 설치 파일을 다운로드 였을 경우 제가 사용하고 있는 보안 제품에서 진단을 하고 있는 것을 확인할 수 있었습니다.

[SpywareSTOP 설치 파일 진단 상황]

AhnLab V3 : Win-Dropper/Rogue.SpywareStop.4802565

Antivirus;Version;Last Update;Result
a-squared;4.0.0.101;2009.04.29;Riskware.FraudTool.Win32.MalwareRomovalBot!IK
AntiVir;7.9.0.156;2009.04.29;DR/Fraud.MalwareRomovalBot.B.23
Fortinet;3.117.0.0;2009.04.29;Misc/MalwareRomovalBot
Ikarus;T3.1.1.49.0;2009.04.29;not-a-virus:FraudTool.Win32.MalwareRomovalBot
K7AntiVirus;7.10.719;2009.04.29;not-a-virus:FraudTool.Win32.MalwareRomovalBot.b
Kaspersky;7.0.0.125;2009.04.29;not-a-virus:FraudTool.Win32.MalwareRomovalBot.b
McAfee+Artemis;5599;2009.04.28;Artemis!4B5237C890AF
McAfee-GW-Edition;6.7.6;2009.04.29;Trojan.Dropper.Fraud.MalwareRomovalBot.B.23
NOD32;4043;2009.04.29;Win32/Adware.AntiSpyware2008
Panda;10.0.0.14;2009.04.28;Trj/CI.A
Sophos;4.41.0;2009.04.29;Mal/FakeAV-AQ
ViRobot;2009.4.29.1715;2009.04.29;Adware.MalwareRomovalBot.R.5296681

Additional information
File size: 5296681 bytes
MD5...: 4b5237c890af0362526bf734947e9b9a
SHA1..: c80df8a55f234ccad85cf0cbabb2b3f90247173a


게다가 제품과 유사한 명칭의 SpywareBOT라는 이름으로 검색을 하였을 경우, 동일하게 구글 스폰서 링크에 등록이 되어 있으며 해당 링크가 위에서 살펴본 SpywareSTOP로 연결이 되는 것을 확인할 수 있었습니다.

구글 검색이 사용자가 원하는 각종 유용한 정보를 제공해 주는 것은 분명하지만, 구글에서 자체적으로 서비스하는 스폰서 링크가 위와 같이 가짜 백신이 포함될 수 있다는 점도 유념해야 할 것입니다.

해외 정보를 확인해보면 악의적으로 구글 광고에 가짜 백신을 등록하여 배포하다가 신고를 통해 차단되는 경우가 가끔씩 보이는데, 해당 제품의 경우에는 작년 또는 그 이전부터 꽤 오래 등록이 되어 있는 것으로 보아 구글의 자체 진단 정책에서 해당 제품을 인정하는 것인지 알 수는 없지만 국내외 신뢰할 수 있는 보안제품에서 가짜 백신으로 진단하는 것을 미루어보아 보안제품으로서의 기능은 없다고 봐야할 것입니다.
728x90
반응형
  • 저런 스폰서 광고는 국내외 검색엔진 할 것없이 문제가 많다고 생각합니다. 국내 포털은 정도가 더 심각하지만요.

    • 최소한 보안제품 다수가 진단을 하면 해당 광고는 내려야하지 않을까 생각합니다.

      해외에서 보면 저렇게 발견을 하면 보안업체에서 구글측에 보고를 하는 것 같은데, 저 제품은 잘 살아있더군요.

  • 음...광고주의 입김이 상당한것으로 판단됩니다.
    인지가 안되서 안내리는것은 아닐겁니다..

  • 안녕하세요.

    티스토리 새글 리스트 보다가 들어왔어요.

    스폰서 광고 되는건 믿을 수 있는 것들이라고 생각하고 있었는데 아니었네요…

    편안하고 기분 좋ㄹ은 하루 되세요~^-^

  • 정말이지 인터넷에 방심은 금물이라는걸 다시 한번 느끼게 해주는 글이였습니다.

    국내여 전에부터 좀 있었다지만.. 구글에서도 스폰서 광고란에 위험할수 있는 내용이 올라올줄이야...

    언제나 아무생각없는 한번의 클릭이 무서운 결과를 초레할수 있네요!!

    • 국내나 해외나 돈만 주면 스폰서 등록이 가능한게 현실이다보니 이런 문제도 자연스럽게 대두되는 것 같습니다.