파란.com에서 배포하는 스파이웨어 by 도아
파란 스파이?
프로그램을 직접 확인해본 결과 스파이웨어나 애드웨어는 아닌 것 같다. 그러나 프로그램 이름을 시스템 파일명과 비슷하게 작성하고, 다운로드 시점에따라 파일명을 바꾸고, 사용자 몰래 저런 프로그램을 설치하는 이유는 정말 모르겠다.
파란의 스파이웨어
얼마전 부터 QAOS.com 게시판에 파란에서 스파이웨어를 배포한다는 글(I, II)이 올라왔다. KT라면 충분히 하고도 남겠지만 아무리 머리가 나빠도 조만간 틀통날 일을 하지는 않을 것 같아 크게 신경을 쓰지않았다. 그러나 svchosts.exe에 대해서...라는 글에대한 hackerm님의 답변을 보고 혹시 몰라 파란 블로그에서 정말 스파이웨어가 배포되는지 확인하기로 했다. 일단 확인 결과는 스파이 웨어인지 애드 웨어인지, 아니면 바이러스인지 모를 의심스러운 프로그램이 사용자 몰래 설치되는 것을 확인했다.
예전에 올린 글, 파란 블로그에서 Tatter로 복귀에서 언급했듯 파란 블로그는 접속하는 모든 사람에게 다음 그림과 같은 웹 접속 관리 및 자동 업데이트라는 ActiveX를 설치한다.
URL Snooper로 확인해본 결과 웹 접속 관리 및 자동 업데이트라는 'ActiveX'외에 다음 프로그램도 다운받아 설치한 다는 점이다.
http://activexdown.paran.com/paranactivex/UPDATE/ImExtern.cab
스파이웨어처럼 구는 파란 웨어
특히 ImExtern.cab
파일에는 svchosts.exe
나 csrs.exe
처럼 시스템 파일명과 비슷한 파일명을 갖는 파일이 포함되어 있으며, '웹 접속 및 자동 업데이트'라는 'ActiveX'를 설치하면 함께 설치된다는 점이다.
svchosts.exe에 대해서...라는 글에서는 파란에서 설치하는 'ActiveX'를 SpyZero가 win-adware/zzum.svc
라는 에드웨어로 검출하는 것으로 되어 있지만 확인해본 결과 SpyZero의 검출 결과는 오진이라는 생각이 든다.
다운받은 ImExtern.cab
에는 svchosts.exe
라는 파일이 포함된 경우도 있고, csrs.exe
라는 파일이 포함된 경우도 있었는데 csrs.exe라는 파일이 포함된 경우 SpyZero의 실시간 모니터 프로그램이나 검색 프로그램에서 csrs.exe를 에드웨어로 검출하지 않았다.
아울러 이 파일들은 인터넷에서 AGOBOT이라는 트로이 목마로 언급하고 있었다. 그러나 'AGOBOT'이라는 트로이 목마는 'RUN 레지스트리'를 통해 실행되지만 파란에서 배포하는 svchosts.exe
나 csrs.exe
는 따로 실행하는 코드가 존재하지 않았다. 그러나 다음과 같은 점 때문에 파란 블로그를 사용하지 말것을 권고한다.
- '파란 블로그'를 사용하는 사람이든 그렇지 않은 사람이든 파란 블로그에 접속하면 '웹 접속 관리 및 자동 업데이트'라는 'ActiveX'를 설치한다. 아울러 이 'ActiveX'를 설치하면 사용자 몰래 알 수 없는
ImExtern.cab
가 설치된다. 'ActiveX'에 포함된 파일은 트로이 목마처럼 시스템 파일과 비슷한 파일명을 가지고 있다.
시스템 파일명 ActiveX 파일명 svchost.exe svchosts.exe csrss.exe csrs.exe ImExtern.cab
를 다운받는 시점에따라 'ActiveX'에 포함된 파일명이 변경된다. 내 경우 처음에 다운받은ImExtern.cab
에는svchosts.exe
라는 파일이 포함되어 있었고, 두번째 다운받을 때는csrs.exe
라는 파일이 포함되어 있었다. 두개의 파일 모두 같은 파일 크기(53,248 바이트)를 가지고 있지만 내부적인 코드는 다소 달랐다.
KT가 어떤 의도로 위와같은 프로그램을 사용자 몰래 사용자의 시스템에 설치했는지는 아직 알 수 없다. 그러나 사용자의 동의를 구하지 않고 이런 트로이 목마성 프로그램을 설치한다는 하나만으로도 파란 블로그를 사용할 필요는 없는 것 같다. '파란'에서 이미 ActiveX를 다운받아 설치한 사람은 다음 절차에따라 파란에서 설치한 ActiveX를 제거하기 바란다.
- 현재 기동중인 모든 '인터넷 탐색기'를 종료한다. 가급적 모든 프로그램을 종료하는 것이 좋다.
- UninstallParan.zip 파일을 다운받아 임의의 폴더(
예: D:\Temp
)에 압축해제한다. - 압축해제한 폴더에서
installParan.cmd
를 두번 클릭해서 실행한다.
남은 이야기
프로그램을 직접 확인해본 결과 스파이웨어나 애드웨어는 아닌 것 같다. 그러나 프로그램 이름을 시스템 파일명과 비슷하게 작성하고, 다운로드 시점에따라 파일명을 바꾸고, 사용자 몰래 저런 프로그램을 설치하는 이유는 정말 모르겠다.
난 국내에서 악덕기업 하나를 꼽으라면 당연히 삼성을 꼽는다. 그러나 둘을 꼽으라고 하면 삼성과 KT를 꼽는다. 아울러 삼성과 KT는 이러한 신념을 배신한 적이 없다.