분석 정보/악성코드 분석 정보

[악성코드 분석] 무단 광고로 사용자를 불편하게 만드는 Adware 배포 주의

TACHYON & ISARC 2017. 9. 20. 09:58

무단 광고로 사용자를 불편하게 만드는 Adware 배포 주의


1. 개요 


‘Adware’ 원래의 의미는 프로그램 실행 중 광고를 보여주고, 이를 봄으로써 비용 납부를 대신하는 형태의 프로그램을 야기한다. 광고성 제휴 프로그램은 사용자 동의 안내 등 절차적인 문제가 없으면 적법한 프로그램이기 때문에 백신 프로그램에서 무조건 진단 및 치료를 할 수 없다.


하지만, 해당 ‘Adware’ 는 프로그램 설치 시에 추가로 사용자의 의지와는 상관없이 ‘기본값(default)’ 으로 체크 되어 같이 설치되기 때문에 사용자가 꼼꼼하게 확인 하지 않고 진행하면 많은 광고로 인하여 컴퓨터 사용을 매우 불편하게 할 수 있다.


이번 분석보고서에서는 이러한 ‘Adware’ 를 배포하는 한 유틸리티에 대해서 알아보고자 한다.






2. 관련 법률


정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조의5(영리목적의 광성 프로그램 등의 설치) 

정보통신서비스 제공자는 영리목적의 광고성 정보가 보이도록 하거나 개인정보를 수집하는 프로그램을 이용자의 컴퓨터나 그 밖에 대통령령으로 정하는 정보처리장치에 설치하려면 이용자의 동의를 받아야 한다. 이 경우 해당 프로그램의 용도와 삭제방법을 고지하여야 한다.

제76조(과태료) 

① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다.<개정 2011.3.29, 2012.2.17, 2013.3.23, 2014.5.28, 2015.6.22, ..2016.3.22>

(중략)

7. 제50조제1항부터 제3항까지의 규정을 위반하여 영리 목적의 광고성 정보를 전송한 자

8. 제50조제4항을 위반하여 광고성 정보를 전송할 때 밝혀야 하는 사항을 밝히지 아니하거나 거짓으로 밝힌 자

9. 제50조제6항을 위반하여 비용을 수신자에게 부담하도록 한 자

9의2. 제50조제8항을 위반하여 수신동의 여부를 확인하지 아니한 자

10. 제50조의5를 위반하여 이용자의 동의를 받지 아니하고 프로그램을 설치한 자

11. 제50조의7제1항 또는 제2항을 위반하여 인터넷 홈페이지에 영리목적의 광고성 정보를 게시한 자





3. 분석 정보


3-1. 파일 정보


구분

내용

파일명

2_12061_starcraft.zip.exe

파일크기

2,292,520 Byte

진단명

Downloader/W32.W***til.N3.A

악성동작

추가 애드웨어 다운로드

 


3-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만, 국내 한 블로그에 공유된 것으로 확인된다.


[그림 1] 유포 경로[그림 1] 유포 경로



3-3. 실행 과정

2-12061_Starcraft.zip.exe 는 최초 실행 시 실제 다운로드 할 파일의 정보와 추가로 다운로드 할 애드웨어의 정보를 얻어온다. ‘다운로드’ 버튼을 누를 경우 사용자가 원래 받고자 하는 Starcraft.zip 와 함께 10여 개의 애드웨어가 설치된다.


문제는 애드웨어는 원본 프로그램 설치에 있어 필수적이지 않다는 점이다. 아래 [그림 1] 을 확인해보면 사용자가 설치창에서 체크해제를 한다고 하여도, 아주 작은 화살표로 다른 제휴가 있다는 사실을 알기 힘들어, 해제 한 1개를 제외한 나머지 애드웨어는 그대로 설치된다. 


이는 사용자가 충분히 인지할 수 없게 하여 자사 광고를 클릭하여 광고수익을 올리는 동작을 목적으로 한다.


[그림 2] 애드웨어 설치화면[그림 2] 애드웨어 설치화면







4. 악성 동작


4-1. 광고 동작

동시에 설치되는 애드웨어의 종류가 워낙 많기에 각각의 광고동작을 일일이 나열하는 것은 무의미하다. 아래는 일부 애드웨어의 약관을 토대로 해당 기능을 간략히 나열한 것이다. 대부분 추가 광고노출이나 추가 제휴 프로그램 다운로드에 관한 내용인 것을 확인 할 수 있다.


[그림 3] 약관을 토대로 한 애드웨어 동작[그림 3] 약관을 토대로 한 애드웨어 동작


또한, 해당 다운로더에 의하여 설치 된 애드웨어들이 동작하면 사용자는 아래와 같이 다른 작업을 수행하기 힘들만큼 무분별한 광고가 계속해서 실행된다.


 [그림 4] 실행 된 애드웨어 광고 동작 [그림 4] 실행 된 애드웨어 광고 동작






4-2. 자동 실행 등록

사용자 의지와는 상관없이 설치 된 애드웨어들 중 일부는 자동 실행 레지스트리에 등록한다. 이를 통해 사용자가 PC를 재부팅 하더라도 다시 PC에 로그온하면 실행되어 광고 동작을 수행한다.


 [그림 5] 자동 실행 등록 [그림 5] 자동 실행 등록






4-3. 다운로더 설치 종료 동작

해당 다운로더는 사용자가 다운로드를 원하지 않을 경우에도 설치될 가능성이 매우 높다. 


그 이유는 취소 절차 진행 시, 알림 문구를 교묘하게 작성해놓았기 때문에 확인하지 않고 진행 시 본인 의지와는 상관없이 설치가 진행되어 광고 동작을 수행한다. 


[그림 6] 다운로드 취소 단계[그림 6] 다운로드 취소 단계






5. 결론



애드웨어는 그 존제 자체만으로 악성코드라고 보기 어렵다. 하지만 사용자가 어떠한 프로그램이 추가적으로 설치되고 있음을 인지 하기 힘들뿐 아니라, 동의 및 설치 할 프로그램들이 기본적으로 체크되어 있기 때문에 의사를 물어보기 위한 추가적인 동작이 필요할 것으로 보인다. 


또한 아무리 좋은 프로그램이라고 하여도 사용자의 동의없이 강제로 설치 후 동작하여 정상적인 컴퓨터 사용에 위해성을 준다면 이는 악성코드와 다를 바 없다고 사료된다.


상기 다운로더와 해당 다운로더로 다운로드된 제휴 프로그램은 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면