악성 코드만 못한 프로그램

글을 올린 사람의 방문하지 말라는 경고에도 불구하고 호기심 때문에 방문하고는 놀라움을 금하지 못했다. 이 사이트에 접속하면 무려 29개의 ActiveX를 설치한다. 그런데 재미있는 것은 이렇게 설치되는 ActiveX 모두 PC 최적화, 악성 소프트웨어 제거 도구의 탈을 쓰고 있다는 점이다.

악성 코드만 못한 프로그램

요즘 악성 소프트웨어가 워낙 판을 치다보니 오랜 만에 QAOS.com사례분석을 통해 배우는 스파이웨어 판정 IV, PCZiggy이라는 글을 올렸다. 악성 소프트웨어 제거 도구의 근황을 확인하기위해 소프트웨어 개발사를 돌아다니던 중 다음 사이트를 방문했다.

http://fh.zetyx.net/ [1][2]

글을 올린 사람의 방문하지 말라는 경고에도 불구하고 호기심 때문에 방문하고는 놀라움을 금하지 못했다. 이 사이트에 접속하면 무려 29개의 ActiveX를 설치한다[3]. 그런데 재미있는 것은 이렇게 설치되는 ActiveX 모두 PC 최적화, 악성 소프트웨어 제거 도구의 탈을 쓰고 있다는 점이다.

일단 이 사이트에 접속하면 다음 그림과 같은 화면이 나타난다. 마치 은행에서 보안 프로그램을 설치하는 것처럼 보이지만 전혀 아니다. 악성 ActiveX 설치를 유도하기위해 사용자를 속이는 화면에 불과할 뿐이다. 아울러 혹시나 ActiveX를 설치하지 않을까봐 익스플로러 창에서 위와 같은 메시지가 나오면 반드시 클릭하신 후 'ActiveX 컨트롤 설치'를 누릅니다라는 문구를 삽입해 두고 있다.


사용자의 ActiveX 설치를 유도하는 초기화면

사이트가 정상적으로 읽혀지면 이때부터 29개에 달하는 악성 ActiveX를 설치하기 시작한다.


디스크 최적화 무료 이벤트 및 윈도우 최적화 프로그램과 무료음악


무료악성코드검사프로그램. 100% 무료음악플레이어.WindowsIE A


무료악성코드진단(dpsolution)


무료악성코드진단(Tooin)


바이러스 무료치료 피씨클리어 & 유니툴바 & IE가이드


보너스팩 패키지(쇼핑현금적립,사이트바로가기,주소창검색,무료문자)


스파이메딕(서치팩) 무료 악성크도 바이러스 검사


악성코드 무료검사 하얀PC와 인터넷도우미


악성코드삭제프로그램


악성코드제거프로그램

이름만 바꾼 악성 코드

두 개의 프로그램 모두 같은 프로그램으로 보인다. 제작사도 같고 이름도 거의 같다. 삭제/제거로 이름만 바꿔서 두 개의 ActiveX를 설치하고 있다. 프로그램의 이름을 보면 알 수 있지만 이 프로그램 외에도 이름만 다른 프로그램이 여러 개 보인다.


악성코드제거프로그램 및 UTurn툴바


애드스캔-악성코드 퇴치 프로그램 & 와우툴바-인터넷도우미


원클릭 PC보호 프로젝트 - 스파이킵


피씨 보호 캐비넛 - 피씨커버


AirPC-악성코드 퇴치 프로그램 & EzURL-인터넷도우미


AntiVIR & 신개념정보툴바


DrClean


DrClear & Windows Wow Toolbar Installer


PC Antispyware pcfreeJJang

이름을 흉내낸 악성 코드

공개 악성 코드 치료 프로그램인 PCFree이름을 그대로 흉내냈다. 도메인 이름도 pc-free.co.krpcfree.co.kr와 비슷하며, 설치하면 기존에 설치된 무료 악성 코드 치료 프로그램인 PCFree를 삭제하고 같은 폴더에 설치된다고 한다. 따라서 주의를 요한다. 이름이 pcfreeJJang로 바뀐 것도 PCFree에서 요청해서 바뀐 것이라고 한다. [자세히 보기]


pc안전진단 및 웹도우미 닥터피씨로


PC최적화 무료 검사 및 강력한 인터넷 검색 도우미와 추천 사이트


pcoptimizer viscan


PCRadar Download 동의, 신개념정보툴바

그래도 설치되는 ActiveX 중 가장 솔직한 이름을 가지고 있다.


SpySweeper & 신개념정보툴바

이름을 베낀 악성 코드

SpySweeper라는 유명한 악성 코드 제거 프로그램의 이름을 그대로 사용한다. 그러나 SpySweeper와는 전혀 관련없는 프로그램이다. 툴바를 설치하기 위해 낚시성으로 붙인 이름이다.


VaccineFree & Windows Wow Toolbar Installer


Virus119 & 신개념정보툴바


Windows Total Utility-ECleaner


windows utilitytool vzero


xKiller & Windows Wow Toolbar Installer

악성 코드 수십개를 설치하는 사람

위에서 알 수 있듯이 대부분 최적화, 바이러스 검사, 악성 코드 제거의 탈을 쓰고 있으며, 주로 툴바나 인터넷도우미라는 URL을 가로채는 프로그램을 설치한다는 것을 알 수 있다. 다른 사이트로 이동하려고 하면 다음처럼 화상 채팅 사이트로의 접속을 유도하는 문구가 나타난다. whois 서비스로 최종 주소인 lowhost.co.kr를 조회해보면 이종X라는 사람이 이 도메인의 소유주로 되어 있다. 참 대단한 사람이다.


화상 채팅 사이트 접속을 유도하는 마지막 화면

초보자의 컴퓨터를 보면 정말 많은 악성 프로그램이 설치되어 있다. 그 이유는 초보자의 무분별한 ActiveX 설치와 위의 사이트처럼 사람들을 속여 ActiveX의 설치를 유도하는 사이트들 때문이다. 그러나 ActiveX 는 특별한 경우가 아니면 가급적 설치하지 않는 것이 좋다. 파란 사태에서 알 수 있듯 하나의 ActiveX를 허용하면 이 것을 통해 쓸데없는 다른 ActiveX까지 설치될 수 있기 때문이다.

따라서 알 수 없는 ActiveX는 다음과 같은 방법으로 차단하는 것이 좋다.

  1. 그림처럼 ActiveX 창이 나타나면 자세한 옵션 보기 앞의 버튼을 클릭한다.
  2. "XXX"에서 배포한 소프트웨어를 설치하지 않음을 선택하고 설치 안 함 버튼을 클릭한다.

관련 글타래


  1. http://fh.zetyx.net/에 접속하면 http://hack119.u.to로 주소가 전환되며, 다시 http://lowhost.co.kr로 주소가 또 전환된다. 
  2. 악성 코드에 걸릴 위험이 많기 때문에 초보자는 아예 접속하지 않는 것이 좋다. 
  3. 난 ActiveX를 마물로 보고 있다. 은행권에 설치해대는 ActiveX 역시 악성 소프트웨어 못지 않으며 사이트를 방문하다보면 뜬금없이 나타나 설치할 것을 강요해대는 이런 ActiveX들 때문이다. ActiveX 자체가 문제는 아니다. 사용하는 사람들의 잘못된 사용이 ActiveX를 마물로 만들고 있는 것이다.