온라인 게임핵으로 인한 많은 피해사례들이 보고되고 있는 가운데, 악성코드 감염시스템을 확인해 보면 다수의 PUP 프로그램이 설치되어 있었다. 이러한 PUP프로그램을 통해 온라인 게임핵이 유포되는 경우가 종종 발견되고 있어 사용자의 주의가 필요하다.
많은 사람들이 무료 프로그램이나 특정 툴을 다운로드 받을 때, 제작사의 홈페이지를 통해서 프로그램을 다운로드 받는 것이 아니라, 특정 게시판이나 블로그를 통해서 다운로드 받기도 한다.
개인에게 무료로 제공되고 있는 V3 Lite의 설치파일(v3litesg_setup.exe)을 위장하여 V3 Lite설치와 동시에 다수의 PUP 프로그램을 설치하고, 이 중 특정 PUP 프로그램이 온라인 게임핵을 다운로드하여 설치하는 방식으로 유포되고 있었다.
- 악성코드 유포 블로그
[그림 1] 블로그에 게시된 악성파일
V3 설치파일로 위장한 파일을 다운로드 받은 후 속성을 살펴보면 안랩 홈페이지(http://www.ahnlab.com)에서 배포되는 V3 Lite의 설치버전과 다르다는 것을 알 수 있다.
[그림 2] V3 Lite 설치파일 비교(좌-악성 / 우-정상)
블로그에서 해당 파일을 다운로드 받아 설치를 진행하면 아래와 같이 다수의 제휴프로그램들의 설치에 대해 사용자 동의를 받으며, 동의를 하지 않을 경우 설치가 진행되지 않아, 사용자의 설치를 강요한다.
[그림 3] PUP 설치를 위한 사용자 동의
사용자가 이용약관에 동의하고 설치를 진행할 경우 V3 Lite 프로그램이 정상적으로 설치가 진행되지만, V3 Lite 설치와 동시에 바탕화면에 여러 P2P사이트와 쇼핑몰 사이트의 바로 가기 아이콘이 생성되고, 허위백신 프로그램이 설치가 된다.
여기서 PUP 란 불필요한 프로그램(PUP: Potentially Unwanted Program)으로 사용자가 동의하여 설치했지만 프로그램의 실제 내용이 설치 목적과 관련이 없거나 불필요한 프로그램으로, 시스템에 문제를 일으키거나 사용자에게 불편을 초래할 가능성을 가진 잠재적으로 위험한 프로그램을 말한다.
안랩은 허위 사실이나 과장된 결과로 수익을 얻는 경우나 프로그램 제작사 또는 배포지가 불분명한 경우 등 대다수 사용자가 불편을 호소한 프로그램을 불필요한 프로그램으로 진단하며, 사용자의 동의 하에 불필요한 프로그램을 검사하고 사용자가 선택적으로 삭제/허용할 수 있도록 한다.
설치파일 실행 시 다수의 PUP 프로그램이 설치되는데, 바탕화면에 P2P 사이트나 온라인 쇼핑몰 바로 가기 아이콘들이 생성되고, 수시로 광고 웹 페이지가 열리며, 아래와 같이 존재하지 않는 위협요소를 띄워서 사용자에게 공포심을 유발하여 결제를 유도하는 허위백신 프로그램도 함께 설치가 된다.
[그림 4] V3 Lite와 함께 설치되는 PUP 프로그램
이 중 "윈도우 유틸리티 업데이트(wuu_utilt*p.exe)가 온라인 게임핵을 다운로드 한 후 실행을 한다.
[그림 5] PUP 프로그램과 함께 설치되는 온라인 게임핵
[그림 6] 감염시스템의 MAC, OS, 백신프로그램 체크
해당 온라인 게임핵은 설치되는 과정에서 위와 같이 특정 서버로 사용 시스템의 MAC, OS, 백신프로그램의 정보가 체크되는 것이 확인되며, 최근 온라인 게임핵에서 자주 등장하는 ws2help.dll 정상파일 교체와 백신 프로그램을 무력화 하는 기능은 동일하게 나타났다.
이 글을 작성하는 시점에서 해당 블로그에 링크된 V3 Lite 설치파일을 다운로드 하여 설치할 경우 여전히 다수의 PUP 프로그램들이 설치가 되지만, 온라인 게임핵을 설치하는 기능을 하던 wuu_utilt*p.exe 파일이 변경되어 설치 진행 시 더 이상의 온라인 게임핵은 자동으로 설치가 되지 않았다.
이러한 피해사례를 사전에 예방하기 위해서는 반드시 해당 프로그램 제작사 홈페이지나 공식적인 다운로드 사이트를 통해서 내려 받아야 한다.
V3 제품에서는 아래와 같이 진단이 가능하다.
<V3 제품군의 진단명>
Trojan/Win32.OnlineGameHack 외 다수
'악성코드 정보' 카테고리의 다른 글
조류독감 안내문을 위장한 악성코드 발견 (0) | 2013.04.24 |
---|---|
V3 모바일, 글로벌 테스트 연속 2회 인증 획득 (0) | 2013.04.24 |
‘3.20 사이버 테러’ 관련 일부 보도의 사실과 다른 부분을 바로잡고자 합니다. (0) | 2013.04.14 |
불법 다운로드한 게임(크랙) 속에 숨어있는 악성코드 (0) | 2013.04.11 |
남미 은행을 타깃으로 한 봇넷 (0) | 2013.04.11 |
댓글