QAOS.com | 파란.com에서 배포하는 스파이웨어

파란.com에서 배포하는 스파이웨어
게시일: 2005/04/07 | 글쓴이: doa | 12589 번 | 프린트 | 메일

회원이 아니신 분은 제 블로그

에서 읽으시기 바랍니다

얼마전 부터 게시판에 파란에서 스파이웨어를 배포한다는 글(I, II)이 올라왔다. 사실 KT라면 충분히 하고도 남는 일이지만 조만간 들통날 바보같은 일을 할 필요가 없을 것 같아 크게 신경을 쓰지않았다.

그러나 svchosts.exe에 대해서...라는 글에대한 hackerm님의 답변을 보고 혹시 몰라 파란 블로그

에서 정말 스파이웨어가 배포되는지 확인하기로 했다.

일단 확인 결과는 스파이 웨어인지 애드 웨어인지, 아니면 바이러스인지 모를 의심스러운 프로그램이 사용자 몰래 설치되는 것을 확인했다.

필자의 개인 블로그에 올린 글, 파란 블로그에서 Tatter로 복귀

에서 언급했듯 파란 블로그는 접속하는 모든 사람에게 다음 그림과 같은 웹 접속 관리 및 자동 업데이트라는 ActiveX를 설치한다.

URL Snooper로 확인해본 결과 웹 접속 관리 및 자동 업데이트라는 ActiveX외에 다음 프로그램도 다운받아 설치한 다는 점이다.

http://activexdown.paran.com/paranactivex/UPDATE/ImExtern.cab

특히 ImExtern.cab 파일에는 svchosts.exe나 csrs.exe처럼 시스템 파일명과 비슷한 파일명을 갖는 파일이 포함되어 있으며, 웹 접속 및 자동 업데이트라는 ActiveX를 설치하면 함께 설치된다는 점이다.

svchosts.exe에 대해서...라는 글에서는 파란에서 설치하는 ActiveX를 SpyZero가 win-adware/zzum.svc라는 에드웨어로 검출하는 것으로 되어 있지만 필자가 확인해본 결과 SpyZero의 검출 결과는 오진이라는 생각이 든다.

필자가 다운받은 ImExtern.cab에는 svchosts.exe라는 파일이 포함된 경우도 있고, csrs.exe라는 파일이 포함된 경우도 있었는데 csrs.exe라는 파일이 포함된 경우 SpyZero의 실시간 모니터 프로그램이나 검색 프로그램에서 csrs.exe를 에드웨어로 검출하지 않았다.

아울러 이 파일들은 인터넷에서 AGOBOT

이라는 트로이 목마로 언급하고 있었다. 그러나 AGOBOT이라는 트로이 목마는 RUN 레지스트리를 통해 실행되지만 파란에서 배포하는 svchosts.exe나 csrs.exe는 따로 실행하는 코드가 존재하지 않았다.

그러나 다음과 같은 점때문에 파란 블로그를 사용하지 말것을 권고한다.

파란 블로그를 사용하는 사람이든 그렇지 않은 사람이든 파란 블로그에 접속하면 웹 접속 관리 및 자동 업데이트라는 ActiveX를 설치한다. 아울러 이 ActiveX를 설치하면 사용자 몰래 알 수 없는 ImExtern.cab가 설치된다.
ActiveX에 포함된 파일은 트로이 목마처럼 시스템 파일과 비슷한 파일명을 가지고 있다.

시스템 파일명 ActiveX 파일명

svchost.exe svchosts.exe

csrss.exe csrs.exe
ImExtern.cab를 다운받는 시점에따라 ActiveX에 포함된 파일명이 변경된다. 필자의 경우 처음에 다운받은 ImExtern.cab에는 svchosts.exe라는 파일이 포함되어 있었고, 두번째 다운받을 때에는 csrs.exe라는 파일이 포함되어 있었다. 두개의 파일 모두 같은 파일 크기(53,248 바이트)를 가지고 있지만 내부적인 코드는 다소 달랐다.

KT가 어떤 의도로 위와같은 프로그램을 사용자 몰래 사용자의 시스템에 설치했는지는 아직 알 수 없다. 그러나 사용자의 동의를 구하지 않고 이런 트로이 목마성 프로그램을 설치한다는 사실 하나만으로도 파란 블로그를 사용할 필요는 없는 것 같다.

파란에서 이미 ActiveX를 다운받아 설치한 사람은 다음 절차에따라 파란에서 설치한 ActiveX를 제거하기 바란다.

현재 기동중인 모든 인터넷 탐색기를 종료한다. 가급적 모든 프로그램을 종료하는 것이 좋다.
UninstallParan.zip 파일을 다운받아 임의의 폴더(예: D:\Temp)에 압축해제한다.
압축해제한 폴더에서 installParan.cmd를 두번 클릭해서 실행한다.

프로그램을 직접 확인해본 결과 스파이웨어나 애드웨어는 아닌 것 같습니다. 그러나 프로그램의 이름을 시스템 파일명과 비슷하게 작성하고, 다운로드 시점에따라 파일명을 바꾸고, 사용자 몰래 저런 프로그램을 설치하는 이유는 정말 모르겠더군요.

여담: 필자는 국내에서 악덕기업 하나를 꼽으라면 당연히 삼성을 꼽는다. 그러나 두개를 꼽으라고 하면 삼성과 KT를 꼽는다. 아울러 삼성과 KT는 필자의 이러한 신념을 배신하는 적이 없다.

댓글: 이 팁은 jhmavis님의 질문, svchosts.exe에 대해서...과 hackerm님의 질문, 파란 블러그 Active-X 설치시 스파이 웨어 작동?에대한 답으로 작성되었습니다.

시스템 캐쉬에대한 추가 사항 디스크 캐쉬를 사용한 성능향상에서 언급했듯 XP에서는 ... (13555)	2005-04-07

작고 유용한 서비스/장치 관리자, Pserv v2.6 작고 유용한 서비스/장치 관리자, Pserv... (17919)	2005-04-06

QAOS.com에 게시된지 1년 이상된 자료와 관리자가 공개한 자료는 누구나 제한없이 읽을 수 있습니다.
그러나 QAOS.com의 자료를 퍼가는 것은 금지하고 있습니다.

이 정보가 유용하다고 생각되시면 QAOS.com과 많은 다른 사람들을 위해 퍼가기 보다는 링크로 알려주시기 바랍니다.

세상사는 이야기