본문 바로가기

벌새::Analysis

검색 도우미 : Windows SmartTip

인터넷 검색시 자동으로 광고창을 생성하는 검색 도우미 "Windows SmartTip" 프로그램<SHA-1 : db01a65f4d0ad5676d7f33c6c54063d4a3d8a3ee) - BitDefender : Gen:Variant.Symmi.36013 (VT : 10/48)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : 스마트팁(SmartTip) (2012.3.25)

 

  검색 도우미 : SmartTip (2013.9.16)

 

해당 프로그램은 기존의 스마트팁(SmartTip) 검색 도우미 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SmartTip
C:\Program Files\SmartTip\smarttip.dll
C:\Program Files\SmartTip\SmartTip.exe :: 메모리 상주 프로세스
C:\Program Files\SmartTip\SmartTipAgent.exe :: 예약 작업(STSTART) 등록 파일
C:\Program Files\SmartTip\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\STSTART

 

[생성 파일 진단 정보]

 

C:\Program Files\SmartTip\smarttip.dll
 - SHA-1 : b8e940f284f9b5bcdd71a0e16cbeadc5974e5ed3
 - AhnLab V3 : PUP/Win32.HubHelper (VT : 11/46)

"Maroin Co., Ltd" 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\SmartTip" 폴더에 파일을 생성합니다.

예약 작업 영역에 "STSTART" 작업 스케줄러를 등록하여 시스템 시작시 ["C:\Program Files\SmartTip\SmartTipAgent.exe" "/RUN"] 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 SmartTipAgent.exe 파일(SHA-1 : d134d785c75a2d03693a92ad783d83545a68a392)은 특정 서버에서 업데이트 정보를 체크하여 상위 버전이 존재할 경우 smarttip_update.exe 파일<SHA-1 : c41251d38ee2daef4083b55f350b303c797d8264) - BitDefender : Gen:Variant.Symmi.36013 (VT : 9/47)>을 다운로드하여 업데이트를 수행할 수 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색 및 웹 사이트 접속시 메모리에 상주하는 "C:\Program Files\SmartTip\SmartTip.exe" 파일(SHA-1 : f11ab66b56085c9952de3154122890d855a48ace)을 통해 자동으로 광고창을 생성할 수 있습니다.

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 SmartTip.exe 프로세스를 찾아 종료한 후, 제어판에 등록된 "Windows SmartTip" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\SmartTip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SmartTip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{89B7DF17-8ADC-48A7-83A9-1AFF39B41302}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\STSTART

 

"Windows SmartTip" 검색 도우미 프로그램은 변종에 따라 프로그램 이름이 변경될 수 있으며, 인터넷 검색시 원치않는 광고창으로 불편을 유발하므로 위와 같은 프로그램이 설치되지 않도록 주의하시기 바랍니다.