본문 바로가기

벌새::Analysis

검색 도우미 : SmartWeb Control

반응형

인터넷 검색시 추가적인 광고창이 생성되는 검색 도우미 "SmartWeb Control" 프로그램에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : OpenShopper (2010.5.30)

 

  검색 도우미 : OpenShopper - oplsvc (2011.4.6)

 

  검색 도우미 : 오픈쇼퍼(OpenShopper) - oplsvc + danasegarane (2011.9.17)

 

  검색 도우미 : 오픈키워드(OpenKeyword) (2011.12.21)

 

  검색 도우미 : 스마트팁(SmartTip) (2012.3.25)

 

해당 프로그램은 기존의 OpenShopper 계열 검색 도우미와 유사성이 강하므로 참고하시기 바랍니다.

 

프로그램의 설치 과정을 살펴보면 다운로드된 설치 파일(MD5 : 77b9800feed66ee7a7e55474ecb3da09)은 인터넷 임시 폴더에 SWExtern.exe 파일을 생성하며, 해당 파일은 "C:\Program Files\smartw" 폴더에 SmartWC.exe / Uninstall.exe 2개의 파일을 생성합니다.

 

그 후 "SWUpdate[1].exe → 447000.exe", "SWSetup[1].exe → 452125.exe" 파일을 임시 폴더에 각각 생성하여, 프로그램 업데이트 및 프로그램 설치를 완료합니다.(447000.exe / 452125.exe 파일은 (6자리 숫자).exe 패턴입니다.)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\447000.exe :: (6자리 숫자).exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\452125.exe :: (6자리 숫자).exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\license1.txt
C:\Program Files\smartw
C:\Program Files\smartw\SmartWC.exe :: 시작 프로그램 등록 파일
C:\Program Files\smartw\SmartWD.exe :: 메모리 상주 프로세스
C:\Program Files\smartw\SmartWS.exe :: 메모리 상주 프로세스
C:\Program Files\smartw\SQLiteEncrypt.dll
C:\Program Files\smartw\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\smartw\Update.dat

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\447000.exe
 - MD5 : e849630390382de3a860130723b635e8
 - Hauri ViRobot : Adware.Agent.420008 (VirusTotal : 5/41)

 

해당 프로그램은 "C:\Program Files\smartw" 폴더에 파일을 생성하며, Windows 시작시 SmartWC.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크를 하도록 제작되어 있습니다. 

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 이용하는 과정에서 추가적인 광고창이 생성되는 동작을 확인할 수 있습니다. 

해당 프로그램은 메모리에 상주하는 SmartWD.exe, SmartWS.exe 2개의 프로세스를 통해 광고 생성을 하므로, 광고 기능 중지 및 프로그램 삭제시에는 Windows 작업 관리자에서 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "SmartWeb Control" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 인터넷 임시 파일 삭제 및 다음의 파일을 수동으로 삭제하시기 바랍니다. 

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(6자리 숫자).exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(6자리 숫자).exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\license1.txt
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - smartw = C:\Program Files\smartw\SmartWC.exe /RUN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
SmartWeb Control
HKEY_CURRENT_USER\Software\SmartW

 

해당 프로그램은 프로그램 이름과 폴더명이 서로 달라 설치 여부를 확인하기 어려우며, 인터넷 검색시 원치 않는 광고창 생성 및 웹 브라우저 오류가 발생할 수 있으므로 주의하시기 바랍니다.

728x90
반응형