본문 바로가기

Analysis/유포지 정보

동영상페이지를 보여주고 설치유도하는 사례 2007-09-19/10-08


입력일 : 2007-09-19
수정일 : 2007-10-08

특정블러그 / 까페 에 방문하면 동영상 페이지 로 보이는 페이지를 보여주며,  재생을 클릭할 경우 UCC 프로그램이 설치되지만 해당프로그램만 설치되는 것이 아닌 다수의 애드웨어가 동반 설치되는 사례.


<형식적인 동의/몰래설치 - 번들 설치에 대한 논란 부분>

1>특정페이지 방문시 ACTIVE X 를 통한 설치
--> 이것은 동의창이 아니므로 무단설치에 해당.
--> 단, 해당페이지가 원래 해당툴에 대한 설치페이지일 경우 제외된다.
--> 전혀 관계 없는 페이지에서의 설치.
2>업데이트 창을 통해 선택창만 제공하고 프로그램에 대한 별도 정보 및 별도의 동의를 구하지않을 경우로 클릭을 유도하는 것과 다를게 없습니다.


<일부보안사 해명>


--> 아래와 같이 특정글로 유인후 설치되지만 ACTIVE X 보안팝업이 뜨기 때문에 사용자 선택이 가능하다고 한다. 정말 웃기지 않는가?

--> ACTIVE X 보안팝업은 특정프로그램 또는 사용자의 XP 보안설정여부에 따라 팝업자체가 안뜨고 설치될 수 있다.

--> ACTIVE X가 문제되고 현제 악성배포의 경로가 되고 있는 이유가 보안설정에 따라 팝업자체가 안뜰 수있기 때문에 악용되고 있다


<참조링크><자동연장결제 피해시 대처 사항>
-->
http://fantasy-actuality.tistory.com/15


<본문 내용>

특정 동영상을 보여주고 UCC 프로그램 통합매니저 설치라는 명목으로
다수의 애드웨어 설치
한다.

설치되는 항목수시로 변경되고 있어 주의가 필요하다.

이미 일부 보안사엔 해당 배포지를 신고하였다. 금일..일부 보안사에선 해당진단이 반영된 것을 확인

신고일:<2007.09.18-19>  /  일부 보안사 반영일 :<2007.09.20>

<관련정보>
-->2007-10-03 특정글로 유인후 우측하단에 팝업을 통해 설치되는 사례
-->유포되고 있는 Adware - UCCCPLAY / UCCC / Trojan-Downloader.Win32.Delf.cdv

<유포확인일 당시 설치되던 목록><2007.09.18-20>

1> UCCCPLAY  --> 다른 이름 : UCC Community Player
2> vaccine-program
3> Windows cashplus
4> Windows sidebar
5> 큐엠프
6> Windows DirectWeb

<유포확인일 당시 설치되던 목록><2007.10.08>

1> UCCCPLAY --> 다른 이름 : UCC Community Player
2> vaccine-program
3> Favoritesite for Internet <다른이름 :  web favorite site  >
제작사 / 삭제정보 --> http://www.webfavoritesite.com/index.php?from=yahoo
4> windows okcashplus manager

<설치되는 프로그램 들은  아래와 같은 방법으로 정상 삭제는 가능하였습니다.>

1> 제어판 - 추가삭제 에서 확인후 삭제
2> 시작 - 모든 프로그램 - 해당프로그램 - 삭제 / 제거하기 항목
3> 단, 일부 설치자를 시작프로그램에 등록함으로 시작프로그램에 등록된 항목을
주의 깊게 보시고 의심가는 항목 제거 필수
또한 일부 모듈은 삭제시 제대로 삭제되지 않음을 확인 되었으며,
안전모드 부팅후  1> / 2> 번을 수행하시기를 권장.

01