본문 바로가기

벌새::Analysis

검색 도우미 : Windows SmartWeb

728x90
반응형

인터넷 검색시 다양한 광고창을 생성할 수 있는 검색 도우미 "Windows SmartWeb" 프로그램<SHA-1 : cc59dae9542af411c0a5e72872cdadf49af8a6a2 - BitDefender : Gen:Variant.Adware.Symmi.36013 (VT : 23/53)>에 대해 살펴보도록 하겠습니다.


해당 프로그램은 기존에 유사한 기능을 가진 변종 프로그램이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SmartWeb
C:\Program Files\SmartWeb\smartw.dll
C:\Program Files\SmartWeb\SmartWeb.exe :: 메모리 상주 프로세스
C:\Program Files\SmartWeb\SmartWebAgent.exe :: 예약 작업(SWSTART) 등록 파일
C:\Program Files\SmartWeb\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\SWSTART

 

[생성 파일 진단 정보]

 

C:\Program Files\SmartWeb\smartw.dll
 - SHA-1 : c1ad98ccf21da100af37c42256d1a86dd065501b
 - AhnLab V3 : PUP/Win32.HubHelper (VT : 26/52)

 

C:\Program Files\SmartWeb\SmartWeb.exe
 - SHA-1 : 89211eb043200f9255acf1ed88e298ab68cbab76
 - AhnLab V3 : PUP/Win32.OpenKeyword (VT : 3/52)

"Maroin Co., Ltd" 디지털 서명이 포함된 "Windows SmartWeb" 프로그램은 "C:\Program Files\SmartWeb" 폴더에 파일을 생성합니다.

예약 작업 영역에 "SWSTART" 작업 스케줄러를 등록하여 시스템 시작시 ["C:\Program Files\SmartWeb\SmartWebAgent.exe" "/RUN"] 파일(SHA-1 : e75df14eef460dad362e9669a70d3730e2c358a7)을 자동 실행하도록 구성되어 있습니다.

자동 실행된 SmartWebAgent.exe 파일은 특정 서버에서 업데이트 파일을 체크하여 상위 버전이 존재할 경우 smartweb_update.exe 파일<SHA-1 : b37e947d7bfd141f83ab843d58f08c3488089abb - ESET : a variant of Win32/AdWare.Kraddare.JP (VT : 23/52)>을 다운로드하여 패치를 수행할 수 있습니다.

 

업데이트 체크 후 "C:\Program Files\SmartWeb\SmartWeb.exe" 파일을 로딩하여 메모리에 상주하여 광고 구성값을 체크합니다.

프로그램이 설치된 환경에서는 사용자가 인터넷 검색, 웹 사이트 접속, 웹 브라우저 종료 등의 동작시 자동으로 광고창을 생성할 수 있습니다.

광고 동작 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 SmartWeb.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Windows SmartWeb" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SWSTART
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SmartWeb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{104B25CF-9A02-4CBC-860E-2C222322650A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SWSTART

 

스마트웹(Windows SmartWeb) 프로그램은 인터넷 검색시 원치않는 광고창 생성으로 인해 웹 브라우저 속도 저하 등의 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형