본문 바로가기

벌새::Analysis

제휴 프로그램 : Window Smart Info

Windows 부팅시 업데이트 창을 생성하여 제휴 프로그램의 설치를 유도할 수 있는 "Window Smart Info" 프로그램<MD5 : d2d1cbe1b4281fea0f3ca6329f3d4397 - nProtect : Adware/W32.Agent_Packed.129552.B (VT : 18/48)>에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12) 외 4종

 

  <2013년 상반기 관련 정보> 제휴(스폰서) 프로그램 : Window SoftwareUpdate (2013.6.11) 외 6종

 

  제휴(스폰서) 프로그램 : Window Update Ware (2013.7.7)

 

  제휴 프로그램 : Window IP Checker (2013.11.30)

 

해당 프로그램과 유사한 기능을 가진 다양한 변종 프로그램이 과거부터 발견되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\smart-info
C:\Program Files\smart-info\smart-info-se.exe :: 서비스(smart-infoservice) 등록 파일
C:\Program Files\smart-info\smart-info.exe :: 프로그램 실행 파일
C:\Program Files\smart-info\smart-infou.exe
C:\Program Files\smart-info\uninst_smart-info.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\smart-info\smart-info-se.exe
 - MD5 : 270e91ba450de1ed5b0cc506cfe897f1
 - AhnLab V3 : PUP/Win32.UCF (VT : 8/48)

 

C:\Program Files\smart-info\smart-info.exe
 - MD5 : f5df3187ea4799e8ba0fa68c191800cd
 - nProtect : Adware/W32.Agent_Packed.125960 (VT : 11/48)

 

C:\Program Files\smart-info\smart-infou.exe
 - MD5 : 341d587971432db1f19d7af5ed467bab
 - Kaspersky : HEUR:Trojan-FakeAV.Win32.Onescan.gen (VT : 27/48)

 

C:\Program Files\smart-info\uninst_smart-info.exe
 - MD5 : a72da3e0a57725ea1e5bfa2de57b6181
 - AhnLab V3 : Trojan/Win32.Fraudl (VT : 25/48)

해당 프로그램은 "C:\Program Files\smart-info" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 수행합니다.

"smart-infoservice (표시 이름 : smart-info service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\smart-info\smart-info-se.exe" 파일을 자동 실행하며, 이를 통해 "C:\Program Files\smart-info\smart-infou.exe" 파일을 로딩하여 프로그램 업데이트 및 제휴 프로그램 정보를 체크합니다.

이 과정에서 특정 Windows 부팅 과정에서는 제휴 프로그램이 등록되어 있는 경우 그림과 같은 업데이트 창을 생성하여 사용자의 실수를 통한 다양한 제휴 프로그램을 설치할 수 있으므로 주의하시기 바랍니다.

"Window Smart Info" 프로그램이 설치된 환경에서는 사용자가 "C:\Program Files\smart-info\smart-info.exe" 파일을 직접 찾아 실행한 경우에만 "스마트인포" 창이 생성되어 IP 확인 및 시스템 최적화 기능을 사용할 수 있습니다.

 

하지만 프로그램 설치시 프로그램 실행을 위한 바로가기 아이콘(메뉴)을 생성하지 않는 문제로 실제적인 프로그램의 기능은 제휴 프로그램 설치 목적으로 판단됩니다.

프로그램 삭제는 제어판에 등록된 "window smart info" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\smart-info" 폴더를 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\smart-info
HKEY_LOCAL_MACHINE\SOFTWARE\smart-info
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\smart-infoservice

 

"Window Smart Info" 프로그램은 평소에는 설치되었는지 사용자가 쉽게 눈치챌 수 없으며, 특정 시점에서 업데이트 창을 생성하여 부주의한 사용자들의 클릭 유도를 통해 다양한 제휴 프로그램을 설치할 수 있으므로 주의하시기 바랍니다.