무단 광고로 사용자를 불편하게 만드는 Adware 배포 주의
1. 개요
‘Adware’ 원래의 의미는 프로그램 실행 중 광고를 보여주고, 이를 봄으로써 비용 납부를 대신하는 형태의 프로그램을 야기한다. 광고성 제휴 프로그램은 사용자 동의 안내 등 절차적인 문제가 없으면 적법한 프로그램이기 때문에 백신 프로그램에서 무조건 진단 및 치료를 할 수 없다.
하지만, 해당 ‘Adware’ 는 프로그램 설치 시에 추가로 사용자의 의지와는 상관없이 ‘기본값(default)’ 으로 체크 되어 같이 설치되기 때문에 사용자가 꼼꼼하게 확인 하지 않고 진행하면 많은 광고로 인하여 컴퓨터 사용을 매우 불편하게 할 수 있다.
이번 분석보고서에서는 이러한 ‘Adware’ 를 배포하는 한 유틸리티에 대해서 알아보고자 한다.
2. 관련 법률
3. 분석 정보
3-1. 파일 정보
구분 |
내용 |
파일명 |
2_12061_starcraft.zip.exe |
파일크기 |
2,292,520 Byte |
진단명 |
Downloader/W32.W***til.N3.A |
악성동작 |
추가 애드웨어 다운로드 |
3-2. 유포 경로
최초 유포 경로는 밝혀지지 않았지만, 국내 한 블로그에 공유된 것으로 확인된다.
[그림 1] 유포 경로
3-3. 실행 과정
2-12061_Starcraft.zip.exe 는 최초 실행 시 실제 다운로드 할 파일의 정보와 추가로 다운로드 할 애드웨어의 정보를 얻어온다. ‘다운로드’ 버튼을 누를 경우 사용자가 원래 받고자 하는 Starcraft.zip 와 함께 10여 개의 애드웨어가 설치된다.
문제는 애드웨어는 원본 프로그램 설치에 있어 필수적이지 않다는 점이다. 아래 [그림 1] 을 확인해보면 사용자가 설치창에서 체크해제를 한다고 하여도, 아주 작은 화살표로 다른 제휴가 있다는 사실을 알기 힘들어, 해제 한 1개를 제외한 나머지 애드웨어는 그대로 설치된다.
이는 사용자가 충분히 인지할 수 없게 하여 자사 광고를 클릭하여 광고수익을 올리는 동작을 목적으로 한다.
[그림 2] 애드웨어 설치화면
4. 악성 동작
4-1. 광고 동작
동시에 설치되는 애드웨어의 종류가 워낙 많기에 각각의 광고동작을 일일이 나열하는 것은 무의미하다. 아래는 일부 애드웨어의 약관을 토대로 해당 기능을 간략히 나열한 것이다. 대부분 추가 광고노출이나 추가 제휴 프로그램 다운로드에 관한 내용인 것을 확인 할 수 있다.
[그림 3] 약관을 토대로 한 애드웨어 동작
또한, 해당 다운로더에 의하여 설치 된 애드웨어들이 동작하면 사용자는 아래와 같이 다른 작업을 수행하기 힘들만큼 무분별한 광고가 계속해서 실행된다.
[그림 4] 실행 된 애드웨어 광고 동작
4-2. 자동 실행 등록
사용자 의지와는 상관없이 설치 된 애드웨어들 중 일부는 자동 실행 레지스트리에 등록한다. 이를 통해 사용자가 PC를 재부팅 하더라도 다시 PC에 로그온하면 실행되어 광고 동작을 수행한다.
[그림 5] 자동 실행 등록
4-3. 다운로더 설치 종료 동작
해당 다운로더는 사용자가 다운로드를 원하지 않을 경우에도 설치될 가능성이 매우 높다.
그 이유는 취소 절차 진행 시, 알림 문구를 교묘하게 작성해놓았기 때문에 확인하지 않고 진행 시 본인 의지와는 상관없이 설치가 진행되어 광고 동작을 수행한다.
[그림 6] 다운로드 취소 단계
5. 결론
애드웨어는 그 존제 자체만으로 악성코드라고 보기 어렵다. 하지만 사용자가 어떠한 프로그램이 추가적으로 설치되고 있음을 인지 하기 힘들뿐 아니라, 동의 및 설치 할 프로그램들이 기본적으로 체크되어 있기 때문에 의사를 물어보기 위한 추가적인 동작이 필요할 것으로 보인다.
또한 아무리 좋은 프로그램이라고 하여도 사용자의 동의없이 강제로 설치 후 동작하여 정상적인 컴퓨터 사용에 위해성을 준다면 이는 악성코드와 다를 바 없다고 사료된다.
상기 다운로더와 해당 다운로더로 다운로드된 제휴 프로그램은 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면
[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[악성코드 분석] HWP2018.exe 위장 악성파일 분석 (0) | 2017.12.28 |
---|---|
[악성코드 분석] 워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 (0) | 2017.11.13 |
[악성코드 분석] 한국 사용자의 호기심을 자극하는 KONNI Malware 분석 (0) | 2017.08.11 |
[악성코드 분석] 회사 메일을 이용한 피싱 메일 C&C 감염 주의 (0) | 2017.06.01 |
[악성코드 분석] ‘게임 핵’ 으로 위장한 악성코드 감염 주의 (0) | 2017.05.26 |