구글 독스 이용해 작성된 웹페이지, 특정 파일 다운로드 유도

설치된 광고 프로그램 중 일부, 악성 프로그램으로 진단되기도

[보안뉴스 민세아] 온라인 문서 작성 기능을 제공하는 구글 독스(Google Docs) 서비스를 이용해 해외 광고 프로그램을 유포하는 사례가 발견되어 이용자들의 주의가 요구된다.

구글에서 특정 인터넷 검색 키워드를 이용해 구글 독스로 연결되는 링크를 발견할 수 있다. 구글 독스를 이용해 작성된 웹페이지에는 파일 다운로드 또는 동영상 감상을 위해 특정 웹사이트로 연결되는 링크가 포함되어 있다.

연결된 웹사이트는 동영상을 볼 수 있는 것처럼 꾸며져 있지만, 실제론 동영상이 포함되어 있지는 않다. 동영상을 보기 위한 파일 다운로드를 유도해 광고프로그램을 설치하게 하는 방식이다.

프로그램을 다운로드 받으면 ‘Video Player 1 2 1 Downloader__3687_i1511357050_il823377.exe’라는 실행파일이 이중으로 압축되어 있다. exe 파일을 실행할 경우 ‘Video Player 1.2.1 Downloader’ 프로그램 설치창이 생성된다.

이 과정에서 추가적으로 설치될 수 있는 다양한 제휴프로그램(Plus-HD, oursurfing unistall, CPU Miner 등)과 제어판에 표시되지 않는 ‘WindowsManagerProtect, XTab’ 등의 광고 프로그램이 함께 설치될 수 있다. 특정 백신에서는 다운로드 페이지에 접속하는 것만으로도 웹 공격을 감지하고, 광고 프로그램 중 일부를 악성프로그램으로 진단하기도 했다.

또한, 해당 다운로드 파일은 한번 실행한 PC에서는 더 이상 재설치가 되지 않게 방해하기도 한다. 보안전문 블로거 벌새는 “반복적으로 설치가 가능하면 파일 수집 및 분석이 될 수 있기 때문에 재설치가 되지 않도록 방해하는 것으로 보인다”고 전했다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>