본문 바로가기

벌새::Analysis

검색 도우미 : 스마트팁(SmartTip)

반응형
인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 스마트팁(SmartTip) 프로그램에 대해 살펴보도록 하겠습니다.

  검색 도우미 : OpenShopper (2010.5.30)

  검색 도우미 : OpenShopper - oplsvc (2011.4.6)

  검색 도우미 : 오픈쇼퍼(OpenShopper) - oplsvc + danasegarane (2011.9.17)

해당 프로그램은 기존의 OpenShopper 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

프로그램의 설치 과정을 살펴보면 배포용 설치 파일(MD5 : 0190f67b1b6119fdd6ea0ce408ad5b66)을 통해 설치가 이루어지면 SmartTipC.exe 파일을 통해 ① Update.dat 파일을 통해 STUpdate.exe 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\752859.exe" 파일 형태로 생성하여 사용자 Mac Address 체크 및 SmartTipC.exe, Uninstall.exe 파일을 생성하도록 구성되어 있습니다.(※ 752859.exe 파일은 (Random).exe 파일 형태입니다.)

참고로 STUpdate.exe (MD5 : 9d9f46d8074474d167b83b0d12f840c5) 파일에 대하여 Hauri ViRobot 보안 제품에서는 Adware.SmartTip.390376.B (VirusTotal : 6/43) 진단명으로 진단되고 있습니다.

② 또한 STSetup.exe 스마트팁(SmartTip) 설치 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\756531.exe" 파일 형태로 생성하여 프로그램을 최종적으로 설치합니다.(※ 756531.exe 파일은 (Random).exe 파일 형태입니다.)

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\752859.exe
※ 해당 파일은 (6자리 숫자).exe 파일 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\756531.exe
※ 해당 파일은 (6자리 숫자).exe 파일 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\license1.txt
C:\Program Files\smarttip
C:\Program Files\smarttip\SmartTipC.exe :: 시작 프로그램 등록 파일
C:\Program Files\smarttip\SmartTipD.exe :: 메모리 상주 프로세스
C:\Program Files\smarttip\SmartTipS.exe :: 메모리 상주 프로세스
C:\Program Files\smarttip\SQLiteEncrypt.dll
C:\Program Files\smarttip\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\smarttip\Update.dat
 
[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\752859.exe
 - MD5 : 9d9f46d8074474d167b83b0d12f840c5
 - Hauri ViRobot : Adware.SmartTip.390376.B (VirusTotal : 6/43)

C:\Program Files\smarttip\SQLiteEncrypt.dll
 - MD5 : 49cd32a6169dbb3d34e50b6c15cce74e
 - AhnLab V3 : Win-PUP/Helper.OpenSearch.530568 (VirusTotal : 4/43)

해당 프로그램은 Windows 시작시 SmartTipC.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 업데이트 체크를 하도록 구성되어 있습니다.

 

프로그램이 설치된 환경에서 인터넷 검색시 특정 키워드에 따라 추가적인 광고창이 생성되는 동작을 확인할 수 있습니다.

 

해당 프로그램은 SmartTipD.exe, SmartTipS.exe 2개의 프로세스를 메모리에 상주시키므로, 광고 행위 중지 및 프로그램 삭제시에는 Windows 작업 관리자에서 해당 2개의 프로세스를 수동으로 종료하시기 바랍니다.

 

프로그램 삭제는 제어판의 "스마트팁(SmartTip)" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\752859.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\756531.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\license1.txt

참고로 해당 폴더는 숨김(H) 속성값을 가지는 폴더이므로 폴더 옵션에서 "숨김 파일 및 폴더 → 숨김 파일 및 폴더 표시" 항목에 체크를 하시고 파일을 찾으시기 바라며, 752859.exe, 756531.exe 파일명은 랜덤(Random)한 값을 가지므로 파일 정보를 확인하시고 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\스마트팁(SmartTip)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - smarttip = C:\Program Files\smarttip\SmartTipC.exe /RUN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\스마트팁(SmartTip)
HKEY_CURRENT_USER\Software\SmartTip


해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색시 추가적인 광고창 생성으로 웹 브라우저 동작 속도에 영향을 미치므로 주의하시기 바랍니다.

728x90
반응형