본문 바로가기

벌새::Analysis

검색 도우미 : SwTool

인터넷 검색을 통해 웹 사이트 접속시 Internet Explorer 웹 브라우저 좌측 영역에 추천 사이트 사이드바 광고를 생성하는 SwTool 검색 도우미 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 과정을 살펴보면 배포 파일<SHA-1 : 2c5d67ac72a17263bb494bb5d511640a0a521e2c - nProtect : Adware/W32.Agent.94896 (VT : 12/50)>이 실행되면 1차적으로 다음과 같은 파일을 임시 폴더에 생성합니다.

 

[생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\BootCheckInwTool.exe
 - SHA-1 : c420a54216336b138c08b6c787d54dfced8c3b90
 - BitDefender : Gen:Variant.Adware.Graftor.11053 (VT : 9/50)

임시 폴더에 생성된 BootCheckInwTool.exe 파일은 SwTool 검색 도우미와 유사한 시기(2013년 12월 추정)에 배포가 이루어지고 있던 InwTool 검색 도우미 프로그램의 설치 여부를 체크하는 것으로 보입니다.

HKEY_CURRENT_USER\Software\BootCheckInwTool
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - BootCheckInwTool = "C:\Users\(사용자 계정)\AppData\Local\Temp\BootCheckInwTool.exe"

또한 Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\Temp\BootCheckInwTool.exe" 파일을 시작 프로그램에 등록하여 자동 실행되도록 구성되어 있습니다.

이후 SwTool 설치 조건을 만족할 경우 특정 서버로부터 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\SwTool_SW01.exe" 파일<SHA-1 : ef5236d35761831f46730d2e656de35fbf318341 - BitDefender : Gen:Variant.Adware.Symmi.10902 (VT : 17/49)>을 생성 및 실행하여 프로그램 설치 후 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SwTool
C:\Program Files\SwTool\SwTool.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\SwTool\SwToolHelper.dll
C:\Program Files\SwTool\Uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\SwTool
C:\Users\(사용자 계정)\AppData\Roaming\SwTool\setting.dat

 

[생성 파일 진단 정보]

 

C:\Program Files\SwTool\SwTool.exe
 - SHA-1 : 7c101fd95e18b3e4bd8b8add7aeb634ca8f79bc8
 - avast! : Win32:Adware-BFD [PUP] (VT : 16/50)

"WooJung ITS Co., Ltd." 디지털 서명이 포함된 SwTool 프로그램은 "C:\Program Files\SwTool" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\SwTool\SwTool.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되며 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 통해 웹 사이트 접속시 좌측 영역에 검색 키워드 값을 참조한 "SWTOOL" 추천 사이트 사이드바 광고가 생성됩니다.

 

참고로 추천 사이트 광고를 클릭할 경우 "ma.biz.daum.net" 제휴 코드를 통해 웹 사이트로 연결이 이루어집니다.

해당 광고는 메모리에 상주하는 SwTool.exe 프로세스와 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 추가되는 "C:\Program Files\SwTool\SwToolHelper.dll" 파일(SHA-1 : 7c4018b3daecec7fe4ddcd9e19f160b38120a4fb)을 통해 사이드바 광고를 수행합니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 SwTool.exe 프로세스를 찾아 종료한 후 Internet Explorer 웹 브라우저를 종료하시기 바랍니다.

이후 제어판에 등록된 "SwTool" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 파일 및 레지스트리 값을 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\Temp\BootCheckInwTool.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    BootCheckInwTool :: 레지스트리 편집기(regedit)
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\SwTool
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SwTool = "C:\Program Files\SwTool\SwTool.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SwTool

 

SwTool 검색 도우미 프로그램은 웹 사이트 접속시 원치않는 사이드바 광고로 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.