감염 사실을 확인하는 스파이웨어의 행위

감염 사실을 확인하는 스파이웨어의 행위

 

<안철수연구소>

 

최근 들어 프로그램들이 설치 조건에 따라 설치방법을 서로 다르게 하여 이러한 프로그램들을 분석하는 분석가들이 악성여부를 정확하게 판단하기 어렵게 만들고 있다. 얼마 전 ASEC 블로그를 통해 “사용자 동의를 옵션으로 처리한 스파이웨어” 를 소개한 것에 이어 이번에는 프로그램 실행 후 불필요한 프로그램들을 적절한 사용자 동의절차 없이 불특정 다수에게 유포하고 있는 프로그램에 대해 소개하고자 한다.

 

Win-Trojan/Downloader.518657 를 실행하면 사용자가 지정한 파일을 다운로드 할 수 있는 일반적인 P2P(peer-to-peer) 사이트의 파일 다운로더(Downloader) 쯤으로 착각하기 쉽다. 정상적인 P2P 사이트의 다운로더라면 사용자가 다운로드하고 싶은 파일을 선택한 후 해당 파일을 사용자의 컴퓨터로 다운로드 해주는 것이 일반적일 것이다. 그러나 Win-Trojan/Downloader.518657 를 실행하면 사용자가 선택한 적도 없는 파일들이 실행되는 파일의 이름에 따라 선택되어 다운로드  화면이 다음 그림과 같이 나타난다.

 

이렇게 실행된 Win-Trojan/Downloader.518657 는 비정상적인 동작들이 성공적으로 수행된 사용자를 구별하기 위해 맥 주소(MAC Address)를 서버로 전송하여 서버로부터 추가적인 프로그램 다운로드 여부를 전달받게 된다.

 

 

 

 

위 그림2 와 같이 설치할 프로그램 목록을 전달받은 Win-Trojan/Downloader.518657 은 차례로 프로그램들을 다운로드 받아 실행한다. 이렇게 설치가 완료되면 서버에서는 이전에 전송한 맥 주소에 해당하는 PC 에는 설치가 완료되었다고 기록된다. 그러고 나면 위 그림과 동일한 쿼리를 재전송하여도 해당 서버에서는 설치 프로그램 목록을 보내오지 않는다. 물론 수동으로 맥 주소를 변경할 경우 설치 프로그램 목록을 보여준다.

 

또한 다수의 프로그램을 설치할 경우 아래 그림과 같이 빨간 박스 부분에서와 같이 여러 목록들을 확인할 수 있는 스핀(Spin)버튼이 나타나는데, 실제로 이 부분을 인식하고 프로그램 설치여부를 확인할 수 있는 사용자는 극히 드물 것이다.

 

 

또한 Win-Trojan/Downloader.518657 와 관련된 홈페이지를 찾아 가보았으나 유령회사를 보는 것과 같이 겉모습만 있을 뿐 아무런 서비스도 제공되고 있지 않았다. 이러한 정황들을 미루어 해당 프로그램은 정상적으로 서비스되고 있다고 판단하기 어려운 점들이 많다. 그래서 더욱 풀리지 않는 궁금한 점들이 곱지 않게 보이는 것 같다.