울지않는벌새 : Security, Movie & Society

검색 도우미 : SmartPush

벌새::Analysis

인터넷 검색 및 웹 사이트 접속시 광고창을 생성하는 검색 도우미 SmartPush 프로그램에 대해 살펴보도록 하겠습니다.

 

참고로 SmartPush는 SK텔레콤에서 제공하는 안드로이드 기반 스마트폰의 대화형 어플리케이션을 대상으로 메시지 착신을 도와주는 서비스와 이름이 동일하여 혼동을 유발할 수 있을 것으로 판단됩니다.

 

해당 프로그램은 2013년 12월경부터 확인되지 않은 배포 파일을 통해 SmartPush 설치 파일<SHA-1 : 96a670f6ba91c61451999873f5fa461da188a7a3 - ESET : probably a variant of Win32/Adware.Kraddare.GC (VT : 4/50)>을 다운로드하여 설치가 이루어지고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SmartPush
C:\Program Files\SmartPush\SmartPush.exe :: 메모리 상주 프로세스
C:\Program Files\SmartPush\SmartPushUpdater.exe :: 예약 작업(SmartPush) 등록 파일
C:\Program Files\SmartPush\unins000.dat
C:\Program Files\SmartPush\unins000.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\SmartPush

 

[생성 파일 진단 정보]

 

C:\Program Files\SmartPush\SmartPush.exe
 - SHA-1 : 8680ee7d39bad543b7bcfa8b84616723eff45d6b
 - nProtect : Adware/W32.Agent.1124704 (VT : 8/50)

 

C:\Program Files\SmartPush\SmartPushUpdater.exe
 - SHA-1 : b8939c76e61a82f422bd4292539934e6a505810c
 - nProtect : Adware/W32.Agent.1063264 (VT : 4/50)

"Wetelecommunication" 디지털 서명이 포함된 SmartPush 프로그램은 "C:\Program Files\SmartPush" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 동작을 수행합니다.

예약 작업에 "SmartPush" 작업 스케줄러를 등록하여 Windows 시작시 "C:\Program Files\SmartPush\SmartPushUpdater.exe" 파일을 자동 실행하여 프로그램 업데이트 체크 후 "C:\Program Files\SmartPush\SmartPush.exe" 파일을 로딩하여 메모리에 상주시킵니다.

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어 입력을 통해 기본 검색 공급자로 인터넷 검색을 시도할 경우 자동으로 광고창이 생성될 수 있습니다.

또한 인터넷 검색 및 검색을 통한 웹 사이트 접속 과정에서 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 SmartPush.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 SmartPush.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "SmartPush" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\SmartPush
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{446A7A36-CB6A-471B-9732-4F24262AEA2B}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9F5C36B1-3F8D-4699-9344-FD2DDB1EFF19}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SmartPush

 

SmartPush 프로그램은 프로그램 이름으로는 광고 프로그램인지 인지하기 매우 어려우며, 인터넷 검색시 원치않는 광고창 생성으로 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.