2016년 중반에 출현한 "Windows Smart Search" 광고 프로그램은 가상 환경 및 분석 환경을 체크한 후 정상 동작하여 사용자 몰래 다수의 광고성 웹 사이트 접속 행위 및 바로 가기 아이콘 생성과 같은 다양한 광고 행위를 수행하던 국내에서 제작된 광고 프로그램이었습니다.

 

당시 분석 정보가 공개된 이후 2016년 하반기경 유사한 광고 행위 수행을 위해 프로그램 이름은 "Windows Smart Search Support"으로 변경되었으며, 설치된 프로그램 폴더 위치와 파일명이 약간 변경되었습니다.

 

이번에 소개된 부분은 freeurls 프로그램(SHA-1 : 8d9a2a5fb3263df5ee2740ca97934fc61d7d8bfd - ESET : a variant of Win32/AdWare.Kraddare.KN)을 통해 자동으로 설치되는 변경된 "Windows Smart Search Support" 광고 프로그램에 대해 다시 한 번 살펴보도록 하겠습니다.

 

freeurls 프로그램 생성 폴더 / 파일 등록 정보

 

C:\Program Files (x86)\freeurl
C:\Program Files (x86)\freeurl\freeurl.exe :: 시작 프로그램(freeurls) 등록 파일
C:\Program Files (x86)\freeurl\setup_sky03.exe :: "Windows Smart Search Support" 프로그램 설치 파일
C:\Program Files (x86)\freeurl\uninstall.exe :: freeurls 프로그램 삭제 파일

 

생성 파일 진단 정보

 

C:\Program Files (x86)\freeurl\freeurl.exe
 - SHA-1 : fec699f66135b08d54dd3f64af39987886734cb3
 - AhnLab V3 : Adware/Win32.Kraddare.C710630

 

C:\Program Files (x86)\freeurl\setup_sky03.exe
 - SHA-1 : fe5916c05560460fc9f7be8c62242ac7388b01db
 - BitDefender : Gen:Variant.Adware.Kraddare.26

 

 

"C:\Program Files (x86)\freeurl" 폴더에 생성된 freeurls 프로그램은 Windows 부팅 시 freeurls 시작 프로그램 등록값을 통해 ["C:\Program Files (x86)\freeurl\freeurl.exe" init] 파일을 자동 실행하도록 구성되어 있습니다.

 

 

실행된 freeurl.exe 파일은 특정 서버에 접속하여 구성값을 체크하여 "Windows Smart Search Support" 광고 프로그램 설치를 위한 설치 파일을 추가 다운로드하여 "C:\Program Files (x86)\freeurl\setup_sky03.exe" 파일로 생성합니다.

 

자동 다운로드된 후 자동 실행된 설치 파일을 "Windows Smart Search Support" 광고 프로그램 관련 파일을 생성합니다.

 

"Windows Smart Search Support" 프로그램 생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Local\WSD
C:\Users\%UserName%\AppData\Local\WSD\Lib
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_bcon.dll
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_bdgon.dll
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_hard.dll
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_onet.dll
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_pop.dll
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_tab.dll
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_top.dll
C:\Users\%UserName%\AppData\Local\WSD\qshost.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Local\WSD\smartsch.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Local\WSD\uninstall.exe :: "Windows Smart Search Support" 프로그램 삭제 파일
C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartWord
C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartWord\SmartWord 실행.lnk
C:\Users\%UserName%\AppData\Roaming\WSD
C:\Users\%UserName%\AppData\Roaming\WSD\cklog.exe :: 시작 프로그램(SmartwordChecker) 등록 파일
C:\Users\%UserName%\AppData\Roaming\WSD\uninst.exe
C:\Users\%UserName%\Desktop\SmartWord.lnk

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_bcon.dll
 - SHA-1 : 0a1c4f8ffb7a4114c9238f43ee4a91ac1e1ffad4
 - ESET : a variant of Win32/Adware.Kraddare.MS
 
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_bdgon.dll
 - SHA-1 : 7c59295d52a47f7d91b6883afc129cdac6b3f1a5
 - AhnLab V3 365 Clinic : PUP/Win32.Generic.C1716459
 
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_hard.dll
 - SHA-1 : c1d81de3bab2ecb51a2c52f3f2fbfa1313f46032
 - BitDefender : Trojan.GenericKD.5755510
 
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_onet.dll
 - SHA-1 : 7df610855721791d88692ac5243ea42392f6b9f7
 - Norton : PUA.Gen.2
 
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_pop.dll
 - SHA-1 : 1f5a6748fffcaf29c203791be3aa2ae679610900
 - AhnLab V3 365 Clinic : PUP/Win32.SafeTerra.C1560565

 

C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_tab.dll
 - SHA-1 : 0cfc32d6b117f50cfa76a7e3d981f8a8ab2bbfc1
 - Avast : Win32:Adware-gen [Adw]
 
C:\Users\%UserName%\AppData\Local\WSD\Lib\sw_top.dll
 - SHA-1 : c39f882a134c3a309ac92bdbc0dddc20d2b497dd
 - Avira : TR/Downloader.Gen

 

C:\Users\%UserName%\AppData\Local\WSD\qshost.exe
 - SHA-1 : 1554f123dc9c157c93ecdcf02d4448d1230683d7
 - AhnLab V3 365 Clinic : PUP/Win32.SmartSearch.C1621906
 
C:\Users\%UserName%\AppData\Local\WSD\smartsch.exe
 - SHA-1 : 21007aa469bad488158238a27f0e9ba8fbf96214
 - Hauri ViRobot : Adware.Kraddare.218680

 

C:\Users\%UserName%\AppData\Roaming\WSD\cklog.exe
 - SHA-1 : 9c20443c5c5bb84e85b46329d612f2e2885c9320
 - Avira : ADWARE/Kraddare.IY

 

C:\Users\%UserName%\AppData\Roaming\WSD\uninst.exe
 - SHA-1 : d98003a1e37787784156b6216034f45ac95ecc63
 - AhnLab V3 365 Clinic : PUP/Win32.ShortCut.C196331

 

 

"Wetelecomunication Co.,Ltd" 디지털 서명이 포함된 "Windows Smart Search Support" 광고 프로그램은 다음과 같은 2개의 폴더에 파일을 분산 설치합니다.

 

  • C:\Users\%UserName%\AppData\Local\WSD
  • C:\Users\%UserName%\AppData\Roaming\WSD

 

Windows 부팅 시 SmartwordChecker 시작 프로그램 등록값을 통해 ["C:\Users\%UserName%\AppData\Roaming\WSD\cklog.exe" /FetchCheck] 파일을 자동 실행하도록 구성되어 있습니다.

 

 

또한 바탕 화면에 생성된 SmartWord 바로 가기 아이콘 또는 프로그램 목록에 추가된 "SmartWord 실행" 바로 가기 아이콘을 통해서도 cklog.exe 파일을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 cklog.exe 파일의 핵심 기능은 광고 기능을 수행하는 다음의 2개 파일을 실행하여 메모리에 상주시킨 후 자신은 자동 종료 처리됩니다.

 

  • C:\Users\%UserName%\AppData\Local\WSD\qshost.exe
  • C:\Users\%UserName%\AppData\Local\WSD\smartsch.exe

 

 

자동 실행된 "C:\Users\%UserName%\AppData\Local\WSD\qshost.exe" 파일은 백그라운드 방식으로 다수의 웹 서버에 접속하는 행위가 발생하며, 화면 상으로는 접속되는 사이트가 표시되지 않으므로 접속 여부를 확인하기 매우 어렵습니다.

 

 

대표적인 접속 정보를 확인해보면 다수의 광고 배너(Google AdSense, ILikeSponsorAD 등)가 노출되는 다수의 웹 사이트를 운영하여 광고 프로그램이 설치된 PC에서 백그라운드 방식으로 접속하여 광고 수익을 노리는 것으로 추정됩니다.

 

"C:\Users\%UserName%\AppData\Local\WSD\smartsch.exe" 파일의 경우에도 "C:\Users\%UserName%\AppData\Local\WSD\Lib" 폴더 내부에 존재하는 "jncmarketing Co., Ltd", PioneerSoft 디지털 서명이 포함된 다양한 광고 모듈을 이용하여 사용자가 웹 브라우저를 이용하여 인터넷 사이트 접속 및 검색 시 광고탭, 팝업창, 바로 가기 아이콘 생성 등의 다양한 광고 행위를 수행하도록 구성되어 있습니다.

 

freeurls, Windows Smart Search Support 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 qshost.exe, smartsch.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

 

 

(b) 설정(제어판)의 앱 및 기능(프로그램 및 기능)에 등록된 freeurls, Windows Smart Search Support 프로그램을 찾아 제거하시기 바랍니다.

 

 

참고로 "Windows Smart Search Support" 광고 프로그램 제거 시에는 "SmartWord Uninstall" 창이 생성되므로 예(Y) 버튼을 클릭하시기 바랍니다.

 

freeurls 프로그램 생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\freeurl
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
 - freeurls = "C:\Program Files (x86)\freeurl\freeurl.exe" init
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\freeurl

 

"Windows Smart Search Support" 프로그램 생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - SmartwordChecker = "C:\Users\%UserName%\AppData\Roaming\WSD\cklog.exe" /FetchCheck
HKEY_CURRENT_USER\Software\SmartWord
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SmartWord

 

 

"Windows Smart Search Support" 광고 프로그램은 마치 마이크로소프트(Microsoft) 업체에서 제공하는 것처럼 사용자에게 착각을 유발할 수 있으며, 프로그램 설치로 인하여 실제 인터넷 상에서는 노출되지 않는 다수의 광고 목적으로 제작된 웹 사이트에 접속하여 광고 배너에 노출될 수 있으므로 트래픽을 유발할 수 있으므로 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..