본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : 스마트파인드(SmartFind)

국내에서 제작되어 인터넷 검색과 관련된 제휴(스폰서) 프로그램 방식으로 배포가 이루어지고 있는 스마트파인드(SmartFind) 프로그램에 대해 살펴보도록 하겠습니다.
 

해당 프로그램은 기존의 SmartFind - SmartAppUpdate 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

해당 프로그램 설치 과정에서는 SmartFindPack.zip.1.2.0.0 파일을 다운로드하여 파일을 생성합니다.

GET /SmartFind/p11072104/SmartFindPack.zip.1.2.0.0 HTTP/1.1
Content-Type: text/html
Host:
www.smart****.co.kr

Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

 

[생성 폴더 / 파일 진단 정보]

C:\Program Files\SmartFind
C:\Program Files\SmartFind\SmartFindApp.exe
C:\Program Files\SmartFind\SmartFindBo.dll :: BHO 등록 파일
C:\Program Files\SmartFind\SmartFindUnin.exe :: 프로그램 삭제 파일
C:\Program Files\SmartFind\SmartFindUpt.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스

 

해당 프로그램은 Windows 시작시 SmartFindUpt.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 업데이트 체크 후 메모리에 상주하도록 구성되어 있습니다.

 

 

메모리에 상주하는 SmartFindUpt.exe 프로세스를 사용자가 수동으로 종료하여도 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 딸려 SmartFindUpt.exe 프로세스가 재실행되는 동작을 확인할 수 있습니다.

특히 SmartFindUpt.exe 프로세스는 "스마트파인드 업데이트" 창을 그림과 같이 아주 짧은 시간 노출하고 있으며, 현재는 추가적인 부분이 발견되지 않고 있지만 이전 또는 차후에 업데이트 창에 추가적인 프로그램이 포함될 수도 있을 것으로 보입니다.

이런 일련의 동작을 통하여 Internet Explorer 웹 브라우저 실행시 추가적인 SmartFindUpt.exe 프로세스 동작으로 인하여 일부 시스템에서는 웹 브라우저가 얼어버리는 문제가 발생하는 것으로 확인되고 있습니다.

 

 

SmartFindUpt.exe 프로세스 생성시 외부 연결을 확인해보면 SmartFind 서버를 통해 업데이트 체크를 하며, 추가적으로 applist.php를 통해 추가된 프로그램 존재 여부를 체크하는 것으로 추정됩니다.

 

 

하지만 현재 테스트 시점에서는 새롭게 업데이트 체크를 통해 추가되는 프로그램은 존재하지 않는 것을 확인할 수 있습니다.

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

SmartFind

 - 게시자 : IPO Communications
 - CLSID : {00DC5EE3-492E-4D50-8E4E-16757E714D77}
 - 파일 : C:\Program Files\SmartFind\SmartFindBo.dll

 

해당 프로그램은 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 SmartFindBo.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

그러므로 프로그램 삭제시에는 Internet Explorer 웹 브라우저와 함께 Windows 작업 관리자에서 SmartFindUpt.exe 프로세스를 수동으로 종료하시기 바랍니다.

 

 

프로그램 삭제는 제어판의 [SmartFind] 삭제 항목을 이용하여 삭제하실 수 있습니다.

 

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{74E590F6-537F-4ABA-9746-55EEA0023CA7}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ProtocolExecute\smtapp
HKEY_CURRENT_USER\Software\SmartFind
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00DC5EE3-492E-4D50-8E4E-16757E714D77}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\smtapp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00DC5EE3-492E-4D50-8E4E-16757E714D77}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SmartFind = C:\Program Files\SmartFind\SmartFindUpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SmartFind

 

해당 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 비정상적인 동작이 발생할 수 있으며, 차후 업데이트 창을 통해 추가 프로그램 설치를 유도할 수 있을 것으로 보이므로 주의하시기 바랍니다.