울지않는벌새 : Security, Movie & Society

검색 도우미 : SmartUp(스마트업)

벌새::Analysis

인터넷 검색시 Internet Explorer 웹 브라우저 상단에 툴바(Toolbar)를 생성하며, 추가적인 광고창을 생성할 수 있는 검색 도우미 SmartUp(스마트업) 프로그램<SHA-1 : 4ad485db4d0d8f18262041acbb27f38bd6d3697e - AhnLab V3 : PUP/Win32.GoodComms (VT : 3/52)>에 대해 살펴보도록 하겠습니다.

해당 프로그램은 유사한 기능을 가진 앱이즈(AppIs) 검색 도우미의 변종이므로 참고하시기 바랍니다.

프로그램 설치시에는 특정 서버로부터 SmartUp(스마트업) 프로그램의 ISSmartUp.exe 설치 파일(SHA-1 : 6b3b25a5110fec8b327bb312b14c769165c0bb98)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\SUISspeedfile.exe" 파일명으로 생성 및 실행되어 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\SmartUp
C:\Users\(사용자 계정)\AppData\Local\SmartUp\free.exe
C:\Users\(사용자 계정)\AppData\Local\SmartUp\Log.txt
C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartob.dll
C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartup.exe :: 시작 프로그램(smartup) 등록 파일, 예약 작업(smartup) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartupdate.dat
C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartupdate.exe :: 시작 프로그램(smartupdate) 등록 파일, 예약 작업(smartupdate) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\SmartUp\speedfile.dll
C:\Users\(사용자 계정)\AppData\Local\SmartUp\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\SmartUp\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\SUISspeedfile.exe
C:\Windows\System32\Tasks\smartup
C:\Windows\System32\Tasks\smartupdate

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartupdate.exe
 - SHA-1 : 282faaa112a9c3d2aaacb5be2e798b41965b2f33
 - AhnLab V3 : PUP/Win32.WebCompass (VT : 1/52)

 

C:\Users\(사용자 계정)\AppData\Local\SmartUp\speedfile.dll
 - SHA-1 : 855d7c06be7aad63b6a704034caa4d9792b8c3c4
 - AhnLab V3 : PUP/Win32.HubHelper (VT : 19/52)

"goodcomms Inc." 디지털 서명이 포함된 SmartUp(스마트업) 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\SmartUp" 폴더에 파일을 생성하며, 다음과 같은 시작 프로그램 등록값을 통해 Windows 시작시 자동 실행됩니다.

  • smartup = C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartup.exe
  • smartupdate = C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartupdate.exe

또한 예약 작업에 smartup(C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartup.exe), smartupdate(C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartupdate.exe) 2개의 작업 스케줄러를 등록하여 시스템 시작시 자동 실행하도록 2중 등록되어 있습니다.

이를 통해 자동 실행된 "C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartupdate.exe" 파일은 특정 서버에서 업데이트 체크를 수행하며, "C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartup.exe" 파일(SHA-1 : e762c006d6c30ad59252befd621e0e4e9306a495)을 추가 로딩하여 메모리에 상주시킵니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 수행할 경우 검색 키워드 값을 기반으로 Internet Explorer 웹 브라우저 상단에 광고 툴바(Toolbar)를 생성하며, 웹 사이트 접속시 제휴 코드(cl.ncclick.co.kr)가 포함된 광고창을 자동으로 생성할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 smartup.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 smartup.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "SmartUp(스마트업)" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_CURRENT_USER\Software\SmartUp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - smartup = C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartup.exe
 - smartupdate = C:\Users\(사용자 계정)\AppData\Local\SmartUp\smartupdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SmartUp(스마트업)_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BCA9464A-57A7-4DF8-BD4B-B60D187BD078}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DE3267E2-84F9-4B91-8DE2-6549973438E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\smartup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\smartupdate

 

SmartUp(스마트업) 검색 도우미 프로그램은 Internet Explorer 웹 브라우저를 이용하여 인터넷 검색 및 웹 사이트 접속시 광고창 생성 동작 중 일시적인 시스템 속도 저하를 유발하는 등 불편을 줄 수 있으므로 설치되지 않도록 주의하시기 바랍니다.