Home > 전체기사
[보안칼럼] 키워드 감시 통한 인터넷 팝업창 생성의 비밀
  |  입력 : 2011-03-02 15:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

시작 프로그램에 등록된 파일 체크하여 함께 삭제해야


Internet Explorer 웹 브라우저를 이용하여 인터넷 검색을 시도할 경우 원치 않는 인터넷 쇼핑몰, 웹하드 등 상업적 목적의 팝업창이 생성되는 문제로 고생하는 사용자들이 많다.

본고에서는 이런 문제를 유발하는 프로그램이 국내에서 제작된 악성코드를 통해 설치되는 방식과 근본적으로 사용자가 문제 해결을 위해서 어떤 조치를 해야 하는지에 대해 살펴보도록 한다.


아래와 같이 인터넷 상에서 검색어를 입력할 경우 검색 결과와 함께 특정 팝업창이 생성되는 동작으로 불편을 겪을 경우 사용자는 어떤 프로그램에 의해 이러한 동작이 일어나는지 확인하기가 매우 어렵다.


       


이 사례에서는 팝업창 생성 프로그램의 이름은 Win Search forezlinker라는 국내에서 제작된 광고 프로그램이지만 프로그램 목록에도 나와 있지 않으며 프로그램 폴더(%programfiles%\) 내부에서도 폴더를 찾을 수 없다.

그렇다면 이처럼 자신의 존재를 사용자가 확인하지 못하도록 정상적인 위치가 아닌 곳에 설치하는 해당 프로그램은 과연 어떤 방법으로 설치가 이루어지고 있는지 경로를 추적해 보도록 하겠다.


국내 특정 인터넷 쇼핑몰 관련 프로그램으로 소개된 도메인을 통해 배포가 이루어지고 있는 alpon.exe 파일은 다양한 경로를 통해 사용자 PC에 설치될 수 있다.


사용자 몰래 설치된 alpon.exe 파일은 자신을 시작 프로그램에 등록(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\alpon)하여 Windows 시작시 자동 실행되도록 구성되어 있다.


h**p://di*sh**.co.kr/tr/aff.php?gname=alpon&pid=&m= :: 등록된 2개의 파일 체크 및 다운로드

h**p://dn.di*sh**.co.kr/alpoon.exe :: 추가 악성 파일

h**p://update.***side.kr/pid/ezlinker_p3.exe :: Win Search forezlinker 프로그램 설치 파일


시작 프로그램에 등록된 alpon.exe 파일은 위와 같은 특정 서버에 접속하여 사용자 몰래 2개의 파일을 추가로 다운로드하여 설치가 이루어지도록 구성되어 있다.


C:\Documents and Settings\(사용자 계정)\Application Data\alpoon.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - alpoon = C:\Documents and Settings\VMDream2011\Application Data\alpoon.exe


alpoon.exe 파일은 시작 프로그램에 등록하여 alpon.exe 파일과 동일한 기능을 수행하며 ezlinker_p3.exe  파일은 사용자 동의 없이 Win Search forezlinker 프로그램을 C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ezlinker 폴더에 생성하여 사용자가 찾을 수 없도록 한다.

    


Win Search forezlinker 팝업창 생성 프로그램은 보안 제품의 진단 정책을 우회하기 위하여 정상적인 삭제 기능을 제공하고 있지만 이처럼 사용자가 찾기 어려운 위치에 폴더를 생성하는 방식으로 눈을 피하고 있다.


     

실제 Win Search forezlinker 프로그램이 인터넷 검색시 생성하는 팝업창 연결 정보를 살펴보면 특정 광고 코드를 포함하여 사용자가 팝업창을 통해 제시되는 사이트에 회원 가입 및 유료 결제를 할 경우 프로그램 배포자에게 수익금이 지불되는 구조임을 추정할 수 있다.


이런 팝업창 생성 문제로 고민하는 이용자들은 가장 먼저 체크할 부분은 사용자가 인터넷 검색(키워드 검색)을 할 경우 팝업창이 생성된다는 점에 착안하여 BHO(Browser Helper Object) 방식으로 등록된 파일이 있는지 먼저 확인해 보기 바란다.


    

 

Internet Explorer에서 제공하는 추가 기능 관리의 도구 모음 및 확장 프로그램에 등록된 항목을 하나씩 확인하여 알 수 없는 프로그램 또는 사용자가 설치하지 않은 프로그램이 존재할 경우 해당 항목의 추가 정보를 통해 프로그램(파일) 설치 위치를 확인할 수 있다.


여기서 가장 중요한 부분은 사용자가 팝업창 생성 프로그램을 제어판의 삭제 항목을 통해 삭제했지만 이런 프로그램을 설치하도록 하는 악성 파일을 추가적으로 삭제해야 Windows 시작시 자동으로 설치되는 문제를 예방할 수 있다.


일반적으로 유명 보안 제품을 이용하여 정밀 검사를 통해 진단된 항목을 치료하시면 되지만 보안 제품을 통해 문제가 해결되지 않을 경우에는 시작 프로그램으로 등록된 파일을 찾아 점검할 필요가 있다.


이번 사례의 경우 악성 파일 배포자는 추가적인 변종으로 firhn.exe 파일을 배포하고 있으며 해당 파일이 설치된 사용자 PC에서는 다음과 같은 23개의 파일을 시작 프로그램에 등록하는 것을 확인할 수 있다.

    


사용자가 눈에 보이는 팝업창 생성 프로그램만을 삭제해도 위와 같은 수많은 파일들이 시작 프로그램(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)에 등록되어 언제든지 프로그램 배포자의 의도에 따라 또 다른 광고 프로그램 등을 설치할 수 있다.


그러므로 PC에 사용자가 설치하지 않은 프로그램이 존재하거나 프로그램 삭제 후에도 반복적으로 설치가 이루어지는 경우에는 반드시 시작 프로그램에 등록된 파일들을 하나씩 체크하여 함께 삭제를 해야지 근본적인 문제 해결이 이루어질 수 있다.

마지막으로 이런 악성코드 설치는 인터넷 상에서 제휴(스폰서) 프로그램, 정상적인 소프트웨어로 위장한 경우 등 다양한 경로로 설치가 이루어질 수 있으므로 프로그램 설치시에는 반드시 프로그램에 대한 정보를 확인하시고 설치하는 습관을 갖기 바란다.
[글 _ 보안컬럼니스트 울지 않는 벌새(haslian@naver.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
송성호   2011-03-03 오전 10:40:55
기사 잘 읽었습니다 근데 저는 기자님이 쓰신 현상을 찾아보기가 힘든데도 키워드에 의한 이런 광고들이 뜨네요 ㅠㅠ


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향