파란.com에서 배포하는 스파이웨어

2005/04/07 02:27 :: 도아 :: 기업 :: :: :: 1/1/23758

파란 스파이?

프로그램을 직접 확인해본 결과 스파이웨어나 애드웨어는 아닌 것 같다. 그러나 프로그램 이름을 시스템 파일명과 비슷하게 작성하고, 다운로드 시점에따라 파일명을 바꾸고, 사용자 몰래 저런 프로그램을 설치하는 이유는 정말 모르겠다.

목차

파란의 스파이웨어

얼마전 부터 QAOS.com 게시판에 파란에서 스파이웨어를 배포한다는 글(I, II)이 올라왔다. KT라면 충분히 하고도 남겠지만 아무리 머리가 나빠도 조만간 틀통날 일을 하지는 않을 것 같아 크게 신경을 쓰지않았다. 그러나 svchosts.exe에 대해서...라는 글에대한 hackerm님의 답변을 보고 혹시 몰라 파란 블로그에서 정말 스파이웨어가 배포되는지 확인하기로 했다. 일단 확인 결과는 스파이 웨어인지 애드 웨어인지, 아니면 바이러스인지 모를 의심스러운 프로그램이 사용자 몰래 설치되는 것을 확인했다.

예전에 올린 글, 파란 블로그에서 Tatter로 복귀에서 언급했듯 파란 블로그는 접속하는 모든 사람에게 다음 그림과 같은 웹 접속 관리 및 자동 업데이트라는 ActiveX를 설치한다.

URL Snooper로 확인해본 결과 웹 접속 관리 및 자동 업데이트라는 'ActiveX'외에 다음 프로그램도 다운받아 설치한 다는 점이다.

http://activexdown.paran.com/paranactivex/UPDATE/ImExtern.cab

스파이웨어처럼 구는 파란 웨어

특히 ImExtern.cab 파일에는 svchosts.execsrs.exe처럼 시스템 파일명과 비슷한 파일명을 갖는 파일이 포함되어 있으며, '웹 접속 및 자동 업데이트'라는 'ActiveX'를 설치하면 함께 설치된다는 점이다.

svchosts.exe에 대해서...라는 글에서는 파란에서 설치하는 'ActiveX'를 SpyZerowin-adware/zzum.svc라는 에드웨어로 검출하는 것으로 되어 있지만 확인해본 결과 SpyZero의 검출 결과는 오진이라는 생각이 든다.

다운받은 ImExtern.cab에는 svchosts.exe라는 파일이 포함된 경우도 있고, csrs.exe라는 파일이 포함된 경우도 있었는데 csrs.exe라는 파일이 포함된 경우 SpyZero의 실시간 모니터 프로그램이나 검색 프로그램에서 csrs.exe를 에드웨어로 검출하지 않았다.

아울러 이 파일들은 인터넷에서 AGOBOT이라는 트로이 목마로 언급하고 있었다. 그러나 'AGOBOT'이라는 트로이 목마는 'RUN 레지스트리'를 통해 실행되지만 파란에서 배포하는 svchosts.execsrs.exe는 따로 실행하는 코드가 존재하지 않았다. 그러나 다음과 같은 점 때문에 파란 블로그사용하지 말것을 권고한다.

  • '파란 블로그'를 사용하는 사람이든 그렇지 않은 사람이든 파란 블로그에 접속하면 '웹 접속 관리 및 자동 업데이트'라는 'ActiveX'를 설치한다. 아울러 이 'ActiveX'를 설치하면 사용자 몰래 알 수 없는 ImExtern.cab가 설치된다.

  • 'ActiveX'에 포함된 파일은 트로이 목마처럼 시스템 파일과 비슷한 파일명을 가지고 있다.

    시스템 파일명 ActiveX 파일명
    svchost.exe svchosts.exe
    csrss.exe csrs.exe
  • ImExtern.cab를 다운받는 시점에따라 'ActiveX'에 포함된 파일명이 변경된다. 내 경우 처음에 다운받은 ImExtern.cab에는 svchosts.exe라는 파일이 포함되어 있었고, 두번째 다운받을 때는 csrs.exe라는 파일이 포함되어 있었다. 두개의 파일 모두 같은 파일 크기(53,248 바이트)를 가지고 있지만 내부적인 코드는 다소 달랐다.

KT가 어떤 의도로 위와같은 프로그램을 사용자 몰래 사용자의 시스템에 설치했는지는 아직 알 수 없다. 그러나 사용자의 동의를 구하지 않고 이런 트로이 목마성 프로그램을 설치한다는 하나만으로도 파란 블로그를 사용할 필요는 없는 것 같다. '파란'에서 이미 ActiveX를 다운받아 설치한 사람은 다음 절차에따라 파란에서 설치한 ActiveX를 제거하기 바란다.

  1. 현재 기동중인 모든 '인터넷 탐색기'를 종료한다. 가급적 모든 프로그램을 종료하는 것이 좋다.
  2. UninstallParan.zip 파일을 다운받아 임의의 폴더(예: D:\Temp)에 압축해제한다.
  3. 압축해제한 폴더에서 installParan.cmd를 두번 클릭해서 실행한다.

남은 이야기

프로그램을 직접 확인해본 결과 스파이웨어나 애드웨어는 아닌 것 같다. 그러나 프로그램 이름을 시스템 파일명과 비슷하게 작성하고, 다운로드 시점에따라 파일명을 바꾸고, 사용자 몰래 저런 프로그램을 설치하는 이유는 정말 모르겠다.

난 국내에서 악덕기업 하나를 꼽으라면 당연히 을 꼽는다. 그러나 둘을 꼽으라고 하면 KT를 꼽는다. 아울러 과 KT는 이러한 신념을 배신한 적이 없다.

관련 글타래

글쓴이
author image
운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.
2005/04/07 02:27 2005/04/07 02:27
오늘의 글
인기있는 글
조회수 많은 글 | 베오베
댓글 많은 글 | 베오베
Trackbacks ( 8 ), Comments ( 27 )

Trackback

Trackback Address :: https://offree.net/trackback/239

  1. Subject : 인터넷 종량제를 너무 확대 해석 하는것 같습니다.

    Tracked from Blog of JWC 2005/04/07 14:14 del.

    저 역시 종량제에 반대하는 사람중 한명입니다. 하지만, 인터넷 종량제 관련글을 볼때면 이상한(?) 논리를 가지고 여론을 선동하려는 사람을 (쉽지)어렵지 않게 볼수 있습니다. 예를 들자면 "

  2. Subject : 인터넷 종량제와 정보격차_KT사장의 블로그를 보고

    Tracked from TimeSpace137's Blog 2005/04/07 14:57 del.

    292개의 덧글이 달린 KT 이용경사장의 블로그를 보게되었다. 인터넷 종량제에 대해서 말들이 많은 가운데 이용경 사장이 블로그에서 밝힌 입장에서 '정보격차'에 대한 내용을 보고서 몇 자 적는

  3. Subject : 파란.com에서 배포하는 스파이웨어

    Tracked from DJ's Paradise : 파란만장 별로그 2005/04/08 10:28 del.

    파란.com에서 배포하는 스파이웨어 [도아의 세상사는 이야기]의 도아님이 올린 글입니다. 저야 맥사용자기 때문에 의심스런 액티브 엑스 파일은 절대로 설치할 일도 없고 쓸 일도 없습니다만..

  4. Subject : KT는 기업분할을 해야합니다

    Tracked from 달의 끝을 보고 있었다... 2005/04/08 12:50 del.

    독점이 얼마나 무서운 것인가를 보여주고 있는 KT라는 기업이 있습니다. 합법적으로 060전화를 받으라는 무시무시한 서비스인 Sodis가 있고, 지금은 종량제 분위기를 띄우고 있지만, 그들의 발걸

  5. Subject : 똑바로 해라 KT!!

    Tracked from Cafe de Lillian 2005/04/08 20:42 del.

    솔직히 KT는 정말 짜증난다. 자신들이 해야할 기본적인 서비스도 개판인 주제에 돈만 받아먹으려고 하는 그 꼬락서니가 정말 꼴보기 싫다. 종량제를 한다고 헛소리를 지껄이고 있는데 말이야.

  6. Subject : 인터넷 종량제라 부르지 마라.

    Tracked from 지니어스 @ BLOG ! 2005/04/10 00:54 del.

    '종량―제(從量制)[―냥―][명사] (무엇을) 사용하거나 버리는 양에 따라 일정한 값을 치르는 제도. ' 출처 네이버 백과사전 요즘 한창 인터넷 종량제로 시끄러운데요 호칭 부터가 잘못되었습

  7. Subject : 네티즌은 종량제에 대해 화를 내는 게 아니다.

    Tracked from 글틀양's Story 2005/04/13 03:01 del.

    네티즌은 종량제에 대해 화를 내는 게 아니다. 다만 KT의 모든 사용자들에게 좀더 요금을 더 부과 하려는 것에 대해 화를 낼 뿐이다. KT는 네티즌들이 종량제를 반대하는 것이 아니라는 것을 알

  8. Subject : KT가 말하는 인터넷 종량제의 진실이 이것이었나?

    Tracked from 半長의 생각들과 기타 잡스러운... 2005/04/14 17:56 del.

    사실 KT가 주창한 '인터넷 종량제'에 대해서는 수많은 사람들이 반대 언급을 해왔고 또 그 언급의 대부분이 다 이치에 맞다는 생각을 가지고 있기 때문에 굳이 여기에 내가 하나 더 얹고 싶은 생

Facebook

댓글 · 통계
ResponseRSS Feed

Comments

  1. ㅅ_ㅅ 2005/04/07 10:41

    좋은 자료 감사합니다. 아직 사용해 보진 않았습니다. 다만 압축파일내부에 자료와는 다른 설명의 readme.txt가 들어있는 것 같습니다. emoadder에 관한 설명이네요.

    perm. |  mod/del. reply.
    • 도아 2005/04/07 11:15

      QAOS.com에 올린 자료의 설명을 이용하다 보니 그런 실수가 있었군요. 일단 파일 설명을 수정해서 다시 올려두섰습니다.

      QAOS.com의 최신 자료는 익명 사용자들이 읽을 수 없기때문에 조금 민감한 사안(많은 사람들이 알아야 하는 정보)인 경우에는 QAOS.com과 블로그에서 함께 공개하고 있습니다.

      perm. |  mod/del.
  2. 룬엘 2005/04/07 11:54

    일전에 종량제 관련해서 KT 사장이 글을 쓴 것이 있어 들어가보니 저게 뜨더군요. 당연하게 아니오를 선택했더니 탐색기가 멈춰버렸서 결국 글을 못 읽었습니다. OTL

    perm. |  mod/del. reply.
    • 도아 2005/04/07 12:06

      KT다운 발상이라고 해야할지 어떨지는 모르겠지만 KT는 고객이라는 개념이 없습니다. 2000년인지 2001년인지는 분명하지 않지만 KT 자회사에서 넷트웍에대한 강의를 하면서 KT에는 고객이라는 개념이 존재하지 않는다고 KT를 무지깍아 내렸더니 수업을 듣고 있던 수강생 한분이

      "저희도 올해에는 고객 대응팁이 생깁니다"

      라고 하더군요. 그 큰 회사에서 2001년까지 고객 대응팁이 없었다는 얘기가 됩니다(아니 고객이라는 개념이 없습니다).

      파란 블로그를 사용하고 있는 사람이라면 울며 겨자먹기로 KT의 ActiveX를 설치한다지만 방문자에게까지 ActiveX를 강제로 설치하게끔 하는 이유를 몰랐었는데 결국 스파이웨어 배포를 위해 방문자에게까지 ActiveX를 설치하도록 한 모양입니다.

      perm. |  mod/del.
  3. mooni 2005/04/07 12:50

    이런 신뢰, 절대로 받고 싶지 않습니다만... KT라면야... ^^;;

    perm. |  mod/del. reply.
    • 도아 2005/04/07 18:28

      보통 받기싫어하는 게 정상인데 KT는 꼭 받고 싶어하더군요. 역시 다른 기업이죠.

      perm. |  mod/del.
  4. mooni 2005/04/07 12:54

    관리자만 볼 수 있는 댓글입니다.

    perm. |  mod/del. reply.
  5. akachan 2005/04/07 16:55

    그 고객 대응 팀이라는 게 KT 내부에라도 있으면 또 괜찮죠. 그건 또 전부 도급업체들 가격 후려쳐서 월급 70~80만원 짜리 여성들한테 다 떠넘기고 정작 KT 직원들은 하는 일 없이 할당된 휴대폰 판매에만 열을 올리고 있으니...

    perm. |  mod/del. reply.
    • 도아 2005/04/07 18:30

      KT 뿐만 아니라 대부분의 공기업이나 공기업에서 민간으로 이양된 기업들이 모두 똑 같습니다. 한 예로 국민연금 관리공단 직원들은 직장 가입자만 관리하고, 고생해야하는 지역 가입자는 최저임금조차 주지않는 임시직에게 떠 넘기기 일 수 입니다.

      perm. |  mod/del.
  6. atply 2005/04/07 17:16

    지금 받아 본 파일에는 csrs.exe 파일이 포함되어 있군요.
    대충 둘러본 바로는 자사에서 운영하는 게임사이트 (엔타민) 접속 프로그램을 설치한 것 같군요.

    의도야 어떻든, 고의적으로 시스템 파일과 비슷한 이름을 사용하여 사용자를 기만하려 한 행위는 용서하면 안됩니다.

    (게다가, KT 이미지도 안좋은데 이런 짓까지 하다니.. 미쳤군요 -.-)

    perm. |  mod/del. reply.
    • 도아 2005/04/07 18:32

      다운 받은 파일에 포함된 프로그램에따라 약간씩 차이가 있습니다. 저도 설마했는데, QAOS.com 회원분들이 고통을 호소해서 확인해본 결과 설마가 사람을 잡았더군요. 아무튼 역시 KT라는 생각이 들더군요.

      perm. |  mod/del.
  7. 예인 2005/04/07 22:44

    트랙백 보고 날아왔습니다. :-)

    안그래도 파란 블로그 들어갈때마다 자꾸 뭔가를 설치하려 해서 짜증을 냈었는데 (sp2에 의해 자동 차단되었지요;), 이런 거였군요.

    과연 KT. 샘숭과 함께 대한민국 최고의 ㅅㅂㄹㅁ 기업입니다. (그나마 샘숭은 요즘 제품이라도 좋지 orz)

    perm. |  mod/del. reply.
    • 도아 2005/04/07 23:43

      예... 오늘도 QAOS.com 게시판에 맥스 99를 다운받는 방법을 올리면서 느낀 점입니다. 구글 참 대단한 기업입니다. 사용자를 속이지 않고도 저렇듯 성장할 수 있는 것을 보면... KT나 삼성 참 대단한 기업입니다. 사용자를 속이지 않고는 저렇게 성장할 수 없는 것을 보면...

      perm. |  mod/del.
  8. antiuser 2005/04/08 00:34

    저도 트랙백 보고 날아왔습니다.

    길게 말하기에는 너무 입이 아픕니다.
    이번에 인터넷종량제때문에 말이 많아서 토론게시판을 하나 열어둔거 같던데.. 그것조차도 로그인을 해야 글을 쓸 수 있더군요

    그냥 두손 두발 다 들고 싶지만. 화딱지 나는건 어쩔수 없네요.

    perm. |  mod/del. reply.
    • 도아 2005/04/08 00:55

      그런 것들이 KTF 적인 생각들이죠.

      다만 이런 기업들이 국내에서 최상위 그룹을 형성할 수 있는 환경이 안타까울 뿐이죠.

      perm. |  mod/del.
  9. bikbloger 2005/04/08 14:09

    액티브x를 통해 깔리는 어떤 것들이 항상 의심되기는 했는데...대체 이런 행위는 뭘까요. 말씀하신 대로 고객이란 개념이 없다는 것 때문에 일어난 상황이 아닐런가 싶습니다.

    perm. |  mod/del. reply.
    • 도아 2005/04/08 14:19

      설치된 프로그램을 현재 확인하고 있습니다. 프로그램 구조가 확인되면 이런 프로그램을 설치한 목적을 알 수 있을 겁니다. 그러나 아무리 고객이라는 개념이 없다고 해도 사용자 몰래 저런 프로그램을 그 것도 국내 통신업계에서 1~2위를 다투는 업체에서 한다는 것은 이해가 되질 않습니다. 고객의 개념이 없으면 만들면 되지만 태생이 악덕기업인 경우는 어쩔 수 없더군요.

      perm. |  mod/del.
  10. Ego 2005/04/09 03:47

    Active-X가 없는 사회가 되길 바랍니다... KT가 고객들을 기만하는 행동을 계속하니...KT가 이미지가 안좋아진다는 것을 뻔히 알면서도 그러는 것 같군요.

    perm. |  mod/del. reply.
    • 도아 2005/04/09 06:20

      예... 특히 우리나라 금융권은 반성해야 합니다. 다른 ActiveX는 설치하지 않고 무시하면되지만 인터넷 뱅킹을 쓰기위해서는 어쩔 수 없이 ActiveX를 설치해야 합니다. 이 망할 금융권에서 설치하는 ActiveX가 장난이 아닙니다. 적게는 2개정도 많게는 4~5개 정도의 ActiveX를 설치합니다. 심지어는 사용 내역을 보는데에도 xxSheet.ocx와 같은 ActiveX를 설치하니 사람 환장할 노릇입니다. 이렇게 설치된 ActiveX끼리 서로 충돌이나서 어떤 경우에는 결재를 못하는 경우도 발생합니다. 우리나라 금융권은 반성해야 합니다.

      ActiveX 없는 세상. 그 세상이 인터넷 천국입니다.

      perm. |  mod/del.
  11. 보로미르 2005/04/10 14:40

    온겜넷 로그인이 파란닷컴을 쓰지않으면 당장 가입해지해버리는데...
    안타깝구만...-_-

    perm. |  mod/del. reply.
    • 도아 2005/04/10 17:11

      파란에서 배포하는 ActiveX만 설치하지 않으면 됩니다. 접속 관리라는 ActiveX를 설치하지 않아도 로그인에는 아무런 지장이 없습니다. 다만 접속 관리라는 프로그램에 다른 기능이 있는지는 저도 모르겠습니다. 즉, ActiveX를 설치하지 않고 사용하는데 지장이 없다면 설치하지 않고 사용하면됩니다.

      이미 설치했다면 위에 제가 올린 배치파일로 삭제한 후 시도해보면됩니다.

      perm. |  mod/del.
  12. 제로드 2005/04/13 07:14

    KT는 실상은 아직도 민영화되지 못한, 아수라백작 같은 기업이군요. 수익구조는 사기업보다 더 악착같으면서도, 기업의 사회환원따위엔 관심도 없고, 이젠 라이프 라인이라고 할수 있는 인터넷라인을 쥐고서 목줄을 조이네요...

    안타까운 일이지만, 나름대로 공기업에서 사기업화되다만 부분을 집중적으로 공략해줘야하지 않을까요.. 저번에 나왔던, 전화선 전봇대에 대한 사용료청구 소송이나... AS문제 발생시, 사용하지 못한 시간에 대한 확인및 그만큼의 이용료공제 방안등... 그런 짓은 아직도 공기업의 굼뜬 모습인데... 돈 받는것만은 꼭 고리대출업자 뺨치네요...

    perm. |  mod/del. reply.
    • 도아 2005/04/13 11:46

      예... 악덕 기업입니다. 운영도 방만하고, 고위층은 대부분 낙하산이고... KT 고위직에 근무했던 분은 KT를 나오고 나서 한마디로 KT를 평하더군요.

      쓰레기

      라고...

      perm. |  mod/del.
  13. jeff 2005/04/15 17:49

    악덕에서 삼성을 따라갈 수 있을까요? 한국 재벌들이 규모만큼 나쁜짓 한다고 하지만, 규모를 뛰어넘는 삼성의 쓰레기짓은 아직 많은 국민들이 잘 모르고 있습니다. 삼성이 망하기만을 기도하는 소시민입니다.

    perm. |  mod/del. reply.
    • 도아 2005/04/15 18:24

      예... 제 다른 글을 읽어 보시면 알 수 있지만 악덕 기업 1위는 당연히 삼성입니다. 삼성은 분명히 악덕이라는 점만 보면 초일류기업입니다. 그리고 2번째가 KT죠... 다만 윗글은 KT에 관련된 글이라 KT에대한 얘기만 나오는 것 뿐입니다. 참고로 삼성에 관한 글도 많습니다.

      애니콜 성공 신화의 비밀(http://offree.net/index.php?pl=228 ) 재벌총수 할아버지는 한국인, 아들·손주는 미국시민!(http://offree.net/index.php?pl=222 ) 쓰레기 삼성(http://offree.net/index.php?pl=178 ) 노블리스 오블리제(http://offree.net/index.php?pl=88 ) 드라마 상도와 우리나라 모 재벌(http://offree.net/index.php?pl=87 )

      perm. |  mod/del.
  14. 수인 2005/04/15 23:46

    도아님 덕에 삭제했습니다. 그렇지 않아서 새로 윈도우를 설치후 접속했었는데 인터넷이 좀 늘려지고 메모리를 갑자기 많이 차지하더라구요. ㅜ.ㅜ 고맙습니다.

    perm. |  mod/del. reply.
    • 도아 2005/04/19 12:55

      KTH 측은 해킹 방지 프로그램이라고 하는데 의외로 여러 문제를 발생하는 프로그램이더군요. QAOS.com에 올라온 글(http://qaos.com/viewtopic.php?topic=5913&forum=13&0 )을 보면 새창 열기가 안됐었는데,,, 제가 올린 파란.com의 ActiveX 제거 프로그램을 돌리고나서 정상적으로 새창 열기가 된다는 보고도 있었습니다.

      perm. |  mod/del.

(옵션: 없으면 생략)

글을 올릴 때 [b], [i], [url], [img]와 같은 BBCode를 사용할 수 있습니다.

'귀하는 차단...'라는 메시지는 왜 뜰까?비밀글로 질문하지 않았으면 합니다.
도아의 QnA(성상담 아님)댓글, 과연 소통일까?