반응형
인터넷 검색시 웹 브라우저 하단에 광고바를 생성하며, 프로그램 설치로 인해 사용자 동의 없이 추가적인 다수의 광고 프로그램을 설치하는 검색 도우미 Windows smartlink System 프로그램에 대해 살펴보도록 하겠습니다.
해당 Windows smartlink System 프로그램의 설치 파일(MD5 : d4756cc4e8739b2340d7f7bae772dd55)에 대하여 Microsoft 보안 제품에서는 TrojanDownloader:Win32/Fakr.A (VirusTotal : 8/43) 진단명으로 진단되고 있습니다.
해당 Windows smartlink System 프로그램의 설치 파일(MD5 : d4756cc4e8739b2340d7f7bae772dd55)에 대하여 Microsoft 보안 제품에서는 TrojanDownloader:Win32/Fakr.A (VirusTotal : 8/43) 진단명으로 진단되고 있습니다.
[생성 폴더 / 파일 등록 정보 : Windows smartlink System]
C:\Program Files\smartlink
C:\Program Files\smartlink\ies.tml
C:\Program Files\smartlink\ls.plc
C:\Program Files\smartlink\slk.exe
C:\Program Files\smartlink\smartlink.dll
C:\Program Files\smartlink\smartlinkb.dll :: BHO 등록 파일
C:\Program Files\smartlink\smartlinke.exe :: 시작 프로그램 등록 파일
C:\Program Files\smartlink\uninstall.exe :: 프로그램 삭제 파일우선 Windows smartlink System 검색 도우미 프로그램을 살펴보면 해당 프로그램은 "C:\Program Files\smartlink" 폴더에 파일을 생성하며, Windows 시작시 smartlinke.exe(MD5 : 9183ee8f4bf68bae79aacecd9d8cd25f) 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
해당 광고바에 노출된 광고를 클릭시 해당 프로그램 업체 서버를 경유하여 특정 광고 코드(adnclick.com)를 추가한 형태로 접속이 이루어지는 것을 확인할 수 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
이름 : smartlink
유형 : 브라우저 도우미 개체
CLSID : {0FED20F8-7FE4-4BEC-98EB-08FC3040C583}
파일 : C:\Program Files\smartlink\smartlinkb.dll
이름 : O
유형 : 탐색창
CLSID : {5F865FA8-0FC7-4E4C-B671-B62221EAF283}
파일 : C:\Program Files\smartlink\smartlink.dll
해당 프로그램은 Internet Explorer 웹 브라우저가 실행될 경우 iexplore.exe 프로세스에 smartlinkb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고바를 생성하는 동작을 합니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "smartlink", "O" 2개의 항목의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
[생성 레지스트리 등록 정보 : Windows smartlink System]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- smartlink = C:\Program Files\smartlink\smartlinke.exe
HKEY_CURRENT_USER\Software\nosmartlink
HKEY_CURRENT_USER\Software\nosmart-link
HKEY_CURRENT_USER\Software\smartlink
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0FED20F8-7FE4-4BEC-98EB-08FC3040C583}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5F865FA8-0FC7-4E4C-B671-B62221EAF283}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\smartlink.one
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\smartlink
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FED20F8-7FE4-4BEC-98EB-08FC3040C583}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\smartlink
해당 프로그램은 일반적인 검색 도우미 프로그램과 동일한 모습을 가지고 있지만, 프로그램 설치 후 시작 프로그램으로 등록된 smartlinke.exe 파일은 다음과 같은 추가적인 동작을 확인할 수 있습니다.
또한 이렇게 다수의 광고 프로그램 설치로 인하여 인터넷 검색시 원치 않는 다수의 광고창 생성으로 인하여 웹 브라우저 속도 저하 및 오류가 발생하여 정상적인 인터넷 이용이 불가능할 수 있습니다.
1. 국내 악성코드 : Addendum Sidebar(gamjoa) (2012.1.15)
▶ h**p://down.smart-****.kr/once/addend3.exe (MD5 : 75479e77bc7be694c5555e7e5f387166) - avast! : Win32:Downloader-EEO [Trj] (VirusTotal : 9/42)
smartlinke.exe 파일은 addend3.exe 파일을 다운로드하여 "C:\WINDOWS\Temp\addend.exe" 파일을 생성하며 Addendum Sidebar(gamjoa) 검색 도우미 프로그램을 설치합니다.
2. 검색 도우미 : SmartTool (2011.4.11)
▶ h**p://down.smart-****.kr/once/SmartTool__SM44.exe (MD5 : f7dd781121960d66b1ed77fae321a71b) - nProtect : Trojan-Downloader/W32.Agent.66008.B (VirusTotal : 13/43)
smartlinke.exe 파일은 SmartTool__SM44.exe 파일을 다운로드하여 "C:\WINDOWS\Temp\SmartTool.exe" 파일을 생성합니다.
▶ h**p://file.plus***.co.kr/dst/SmartTool_SM44.exe (MD5 : cc309ae71e2a6f2e91dab06459eca807) - BitDefender : Dropped:Adware.BHO.WTP (VirusTotal : 31/42)
윈도우 임시 폴더에 생성된 SmartTool.exe 파일은 특정 서버에서 SmartTool_SM44.exe 파일을 추가로 다운로드하여 SmartTool 검색 도우미 프로그램을 설치합니다.
C:\Program Files\SmartTool
C:\Program Files\SmartTool\adc.acc
C:\Program Files\SmartTool\SmartTool.dll
C:\Program Files\SmartTool\SmartTool.exe
C:\Program Files\SmartTool\Uninstall.exe▶ h**p://sm.plus***.co.kr/update/SM44/SMU1008.exe (MD5 : d61912d9df774f7238c765b87980c268) - nProtect :
Adware.BHO.WTP (VirusTotal : 33/42)
또한 프로그램 설치 과정에서 SmartTool.exe 파일은 프로그램 업데이트를 위해 특정 서버에서 SMU1008.exe 파일을 추가로 다운로드하여 업데이트를 진행합니다.
3. 검색 도우미 : PostTip (2011.4.11)
▶ h**p://down.smart-****.kr/once/PostTip__IP74.exe (MD5 : 4478ef4dad42f8ded57bb1622546acfe) - Hauri ViRobot :
smartlinke.exe 파일은 PostTip__IP74.exe 파일을 다운로드하여 "C:\WINDOWS\Temp\PostTips10.exe" 파일을 생성합니다.
▶ h**p://file.side***.co.kr/dst/PostTip_IP74.exe (MD5 : 834fc9a3a54329a25ef565c5d6311320) - Hauri ViRobot :
윈도우 임시 폴더에 생성된 PostTips10.exe 파일은 특정 서버에서 PostTip_IP74.exe 파일을 추가로 다운로드하여 PostTip 검색 도우미 프로그램을 설치합니다.
4. 검색 도우미 : SideOh (2011.11.11)
▶ h**p://down.smart-****.kr/once/SideOh__OH02.exe (MD5 : d1d583c6282dddfc6144977dc308573d) - AhnLab V3 :
smartlinke.exe 파일은 SideOh__OH02.exe 파일을 다운로드하여 "C:\WINDOWS\Temp\SideOh.exe" 파일을 생성합니다.
▶ h**p://file.side**.co.kr/dst/SideOh_OH02.exe (MD5 : 8d796f510b2338f1c0932be1b5c50617) - BitDefender :
윈도우 임시 폴더에 생성된 SideOh.exe 파일은 특정 서버에서 SideOh_OH02.exe 파일을 추가로 다운로드하여 SideOh 검색 도우미 프로그램을 설치합니다.
5. 바탕 화면, Internet Explorer 웹 브라우저에 인터넷 쇼핑몰 바로가기 아이콘 생성 (삭제 미지원)
▶ h**p://down.smart-****.kr/once/Rolylink1.exe (MD5 : 7e17b26da842b2aae2ac5cdd05c3323e)
smartlinke.exe 파일은 Rolylink1.exe 파일을 다운로드하여 "C:\WINDOWS\Temp\Rolylink.exe" 파일을 생성합니다.
[생성 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.lnk
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\11sti.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\auctioni.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\gmarketi.ico
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk해당 프로그램은 삭제 기능을 제공하지 않는 설치 방식으로 사용자가 수동으로 생성된 파일 정보를 참고하여 파일을 바로가기 링크 파일(.lnk)과 아이콘 파일(.ico)을 수동으로 삭제하시기 바랍니다.
6. 국내 악성코드 : Win Search for rolypop (2012.2.13)
▶ h**p://down.smart-****.kr/once/Rolypopk1.exe (MD5 : 61f0ccc2ec1f6af8328d8280106b975f) - ESET NOD32 : a variant of Win32/Adware.Kraddare.CZ (VirusTotal : 6/40)
smartlinke.exe 파일은 Rolypopk1.exe 파일을 다운로드하여 "C:\WINDOWS\Temp\Rolypopk.exe" 파일을 생성하며 Win Search for rolypop 검색 도우미 프로그램을 설치합니다.
7. 국내 악성코드 : windows of start yahoo (2012.2.14)
▶ h**p://down.smart-****.kr/once/yo116.exe (MD5 : cf3e5dea4c017692f32900a0010d47dc) - Dr.Web : Trojan.StartPage.41898 (VirusTotal : 5/43)
smartlinke.exe 파일은 yo116.exe 파일을 다운로드하여 "C:\WINDOWS\Temp\yo116.exe" 파일을 생성하며 웹 브라우저의 시작 페이지를 야후(Yahoo)로 변경하는 windows of start yahoo 프로그램을 설치합니다.
8. 검색 도우미 : 키워드탭(KeywordTab) (2011.11.15)
▶ h**p://down.smart-****.kr/once/ktinsa.exe (MD5 : 93486432b13b4217b9fa3bb97ae66c9f) - BitDefender : Gen:Trojan.Downloader.lmGfaqDz3JfG (VirusTotal : 7/43)
smartlinke.exe 파일은 ktinsa.exe 파일을 다운로드하여 "C:\WINDOWS\Temp\ktinsa.exe" 파일을 생성합니다.
ktinsa.exe 파일은 KeyWordTab 설치 파일을 "C:\Documents and Settings\(사용자 계정)\Application Data\ktinstall.exe" 파일(ktinstall.exe (MD5 : cbc206ae1915e0202f287b5c370425ad)로 생성합니다.
ktinstall.exe 파일은 KeywordTab_utilbaksa_Setup.exe 파일을 추가로 다운로드하여 "C:\Program Files\KeywordTab\KeywordTab_utilbaksa_Setup.exe" 파일(MD5 : 78541dcee0d9df818cc24a9cfb950906)로 생성을 하여 키워드탭(KeywordTab) 검색 도우미 프로그램을 설치합니다.
참고로 해당 프로그램은 Internet Explorer 웹 브라우저를 최초 실행할 경우 메모리에 상주하는 KeywordTabopen.exe 프로세스를 통해 시스템 트레이 알림 아이콘 상단에 "AD" 광고 팝업창을 생성하는 동작을 확인할 수 있습니다.
728x90
반응형