세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[보안칼럼] 키워드 감시 통한 인터넷 팝업창 생성의 비밀
  |  입력 : 2011-03-02 15:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

시작 프로그램에 등록된 파일 체크하여 함께 삭제해야


Internet Explorer 웹 브라우저를 이용하여 인터넷 검색을 시도할 경우 원치 않는 인터넷 쇼핑몰, 웹하드 등 상업적 목적의 팝업창이 생성되는 문제로 고생하는 사용자들이 많다.

본고에서는 이런 문제를 유발하는 프로그램이 국내에서 제작된 악성코드를 통해 설치되는 방식과 근본적으로 사용자가 문제 해결을 위해서 어떤 조치를 해야 하는지에 대해 살펴보도록 한다.


아래와 같이 인터넷 상에서 검색어를 입력할 경우 검색 결과와 함께 특정 팝업창이 생성되는 동작으로 불편을 겪을 경우 사용자는 어떤 프로그램에 의해 이러한 동작이 일어나는지 확인하기가 매우 어렵다.


       


이 사례에서는 팝업창 생성 프로그램의 이름은 Win Search forezlinker라는 국내에서 제작된 광고 프로그램이지만 프로그램 목록에도 나와 있지 않으며 프로그램 폴더(%programfiles%\) 내부에서도 폴더를 찾을 수 없다.

그렇다면 이처럼 자신의 존재를 사용자가 확인하지 못하도록 정상적인 위치가 아닌 곳에 설치하는 해당 프로그램은 과연 어떤 방법으로 설치가 이루어지고 있는지 경로를 추적해 보도록 하겠다.


국내 특정 인터넷 쇼핑몰 관련 프로그램으로 소개된 도메인을 통해 배포가 이루어지고 있는 alpon.exe 파일은 다양한 경로를 통해 사용자 PC에 설치될 수 있다.


사용자 몰래 설치된 alpon.exe 파일은 자신을 시작 프로그램에 등록(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\alpon)하여 Windows 시작시 자동 실행되도록 구성되어 있다.


h**p://di*sh**.co.kr/tr/aff.php?gname=alpon&pid=&m= :: 등록된 2개의 파일 체크 및 다운로드

h**p://dn.di*sh**.co.kr/alpoon.exe :: 추가 악성 파일

h**p://update.***side.kr/pid/ezlinker_p3.exe :: Win Search forezlinker 프로그램 설치 파일


시작 프로그램에 등록된 alpon.exe 파일은 위와 같은 특정 서버에 접속하여 사용자 몰래 2개의 파일을 추가로 다운로드하여 설치가 이루어지도록 구성되어 있다.


C:\Documents and Settings\(사용자 계정)\Application Data\alpoon.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - alpoon = C:\Documents and Settings\VMDream2011\Application Data\alpoon.exe


alpoon.exe 파일은 시작 프로그램에 등록하여 alpon.exe 파일과 동일한 기능을 수행하며 ezlinker_p3.exe  파일은 사용자 동의 없이 Win Search forezlinker 프로그램을 C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker 폴더에 생성하여 사용자가 찾을 수 없도록 한다.

    


Win Search forezlinker 팝업창 생성 프로그램은 보안 제품의 진단 정책을 우회하기 위하여 정상적인 삭제 기능을 제공하고 있지만 이처럼 사용자가 찾기 어려운 위치에 폴더를 생성하는 방식으로 눈을 피하고 있다.


     

실제 Win Search forezlinker 프로그램이 인터넷 검색시 생성하는 팝업창 연결 정보를 살펴보면 특정 광고 코드를 포함하여 사용자가 팝업창을 통해 제시되는 사이트에 회원 가입 및 유료 결제를 할 경우 프로그램 배포자에게 수익금이 지불되는 구조임을 추정할 수 있다.


이런 팝업창 생성 문제로 고민하는 이용자들은 가장 먼저 체크할 부분은 사용자가 인터넷 검색(키워드 검색)을 할 경우 팝업창이 생성된다는 점에 착안하여 BHO(Browser Helper Object) 방식으로 등록된 파일이 있는지 먼저 확인해 보기 바란다.


    

 

Internet Explorer에서 제공하는 추가 기능 관리의 도구 모음 및 확장 프로그램에 등록된 항목을 하나씩 확인하여 알 수 없는 프로그램 또는 사용자가 설치하지 않은 프로그램이 존재할 경우 해당 항목의 추가 정보를 통해 프로그램(파일) 설치 위치를 확인할 수 있다.


여기서 가장 중요한 부분은 사용자가 팝업창 생성 프로그램을 제어판의 삭제 항목을 통해 삭제했지만 이런 프로그램을 설치하도록 하는 악성 파일을 추가적으로 삭제해야 Windows 시작시 자동으로 설치되는 문제를 예방할 수 있다.


일반적으로 유명 보안 제품을 이용하여 정밀 검사를 통해 진단된 항목을 치료하시면 되지만 보안 제품을 통해 문제가 해결되지 않을 경우에는 시작 프로그램으로 등록된 파일을 찾아 점검할 필요가 있다.


이번 사례의 경우 악성 파일 배포자는 추가적인 변종으로 firhn.exe 파일을 배포하고 있으며 해당 파일이 설치된 사용자 PC에서는 다음과 같은 23개의 파일을 시작 프로그램에 등록하는 것을 확인할 수 있다.

    


사용자가 눈에 보이는 팝업창 생성 프로그램만을 삭제해도 위와 같은 수많은 파일들이 시작 프로그램(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)에 등록되어 언제든지 프로그램 배포자의 의도에 따라 또 다른 광고 프로그램 등을 설치할 수 있다.


그러므로 PC에 사용자가 설치하지 않은 프로그램이 존재하거나 프로그램 삭제 후에도 반복적으로 설치가 이루어지는 경우에는 반드시 시작 프로그램에 등록된 파일들을 하나씩 체크하여 함께 삭제를 해야지 근본적인 문제 해결이 이루어질 수 있다.

마지막으로 이런 악성코드 설치는 인터넷 상에서 제휴(스폰서) 프로그램, 정상적인 소프트웨어로 위장한 경우 등 다양한 경로로 설치가 이루어질 수 있으므로 프로그램 설치시에는 반드시 프로그램에 대한 정보를 확인하시고 설치하는 습관을 갖기 바란다.
[글 _ 보안컬럼니스트 울지 않는 벌새(haslian@naver.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
송성호   2011-03-03 오전 10:40:55
기사 잘 읽었습니다 근데 저는 기자님이 쓰신 현상을 찾아보기가 힘든데도 키워드에 의한 이런 광고들이 뜨네요 ㅠㅠ


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술