Internet Explorer 웹 브라우저의 주소 표시줄 영역에 검색어를 입력하여 인터넷 검색 시 특정 제휴 코드를 추가하거나 드림위즈 검색으로 연결되는 국내에서 제작된 SmartBrowser 광고 프로그램(SHA-1 : aaa55143290cc740618e80d22cdfffc0e697efe3 - AhnLab V3 365 Clinic : PUP/Win32.SmartAddress.C1983433)에 대해 살펴보도록 하겠습니다.

 

 

해당 광고 프로그램은 기존에 유사한 기능을 가진 SmartAddress 또는 KTH SmartAddress 광고 프로그램 계열이므로 참고하시기 바랍니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Program Files (x86)\SmartBrowser
C:\Program Files (x86)\SmartBrowser\except.txt
C:\Program Files (x86)\SmartBrowser\kw-except.txt
C:\Program Files (x86)\SmartBrowser\SmartAddress.dll
C:\Program Files (x86)\SmartBrowser\SmartAddress64.dll
C:\Program Files (x86)\SmartBrowser\SmartBrowser.exe :: 작업 스케줄러(SMARTBROWSER) 등록 파일, 메모리 상주 프로세스
C:\Program Files (x86)\SmartBrowser\SmartBrowser64.exe :: 메모리 상주 프로세스(64비트)
C:\Program Files (x86)\SmartBrowser\unins000.dat
C:\Program Files (x86)\SmartBrowser\unins000.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\SMARTBROWSER

 

생성 파일 진단 정보

 

C:\Program Files (x86)\SmartBrowser\SmartBrowser.exe
 - SHA-1 : b6f228744bfab792030a4109ba6e58b5d458e729
 - Dr.Web : Trojan.Adkor.341

 

C:\Program Files (x86)\SmartBrowser\SmartBrowser64.exe
 - SHA-1 : 0ec3edb65e0158063c4d0d99d12d29d05262ec4e
 - Dr.Web : Trojan.Adkor.341

 

 

 

"DreamWiz Internet Co.,Ltd" 디지털 서명이 포함된 SmartBrowser 광고 프로그램은 "C:\Program Files (x86)\SmartBrowser" 폴더에 파일을 생성합니다.

 

 

예약 작업에 등록된 SMARTBROWSER 작업 스케줄러 값을 통해 시스템 시작 시 "C:\Program Files (x86)\SmartBrowser\SmartBrowser.exe" 파일을 자동 실행하여 업데이트 체크 후 메모리에 상주하도록 구성되어 있습니다.

 

참고로 x64 운영 체제 환경에서는 추가적으로 "C:\Program Files (x86)\SmartBrowser\SmartBrowser64.exe" 파일을 로딩할 수 있습니다.

 

 

일반적으로 Internet Explorer 웹 브라우저 기본값에서는 주소 표시줄에 검색어를 입력할 경우 Bing 검색 제안 정보가 표시될 수 있습니다.

 

 

하지만 SmartBrowser 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우 다음과 같은 광고 모듈을 통해 기본 설정이 아닌 추천 광고 정보가 노출될 수 있습니다.

 

  • SmartAddress.dll (SHA-1 : ce489fab22d812740854d23984a5a5eaf79974cd)
  • SmartAddress64.dll (SHA-1 : 92cd1cc1a25863c9d9456000ba7dd21e05e5f4f1)

 

 

해당 추천 광고 노출 정보를 살펴보면 외부의 광고 서버로부터 받아오는 것을 확인할 수 있습니다.

 

 

만약 사용자가 노출된 정보를 클릭하여 웹 사이트 이동 시 "cl.ncclick.co.kr" 제휴 코드값을 경유하여 연결되는 것을 알 수 있습니다.

 

 

그 외의 광고 기능으로는 Internet Explorer 웹 브라우저에 검색어를 입력할 경우 기본 검색 공급자가 아닌 "드림위즈 검색(spc1.dreamwiz.com)" 결과로 자동 연결이 이루어집니다.

 

SmartBrowser 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 SmartBrowser.exe 및 SmartBrowser64.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

 

 

(b) 실행 중인 Internet Explorer 웹 브라우저를 종료한 후 설정(제어판)의 앱 및 기능(프로그램 및 기능) 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 SmartBrowser 프로그램을 찾아 제거하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Environment
 - CLSID = {17DA2873-3A62-45EC-94F5-E3B7D3996F86}
HKEY_CURRENT_USER\Software\mmnneo
HKEY_CURRENT_USER\Software\SmartBrowser
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{06EA951E-0C00-4B08-8038-218A67D06E76}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SMARTBROWSER
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06C6077B-8938-41B1-9899-693D14486483}_is1

 

 

다수의 광고 프로그램은 사용자의 부주의한 프로그램 설치 과정에서 동의를 얻어 설치되지만 노출되는 광고가 어떤 프로그램으로 인해 설치되는지 제대로 인지하기 매우 어렵다는 점에서 설치되지 않도록 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..