울지않는벌새 : Security, Movie & Society

삭제를 방해하는 스마트서비스(smart-service) 악성 광고 배포 프로그램 주의 (2014.12.4)

벌새::Analysis

시스템 시작시 "Windows Update" 창을 생성하여 다양한 광고 프로그램 설치를 유도하며, 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않는 국내에서 제작된 스마트서비스(smart-service) 프로그램<SHA-1 : 980e140c72da28cdcafbc62918248f58df889b52 - avast! : Win32:Adware-ZF [Adw] (VT : 2/55)>에 대해 살펴보도록 하겠습니다.

해당 프로그램의 광고 배포용 기능을 가진 다양한 변종 프로그램이 이전부터 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\smart-service
C:\Program Files\smart-service\smart-service-se.exe :: 서비스(smart-serviceservice) 등록 파일
C:\Program Files\smart-service\smart-service.exe :: 스마트서비스(smart-service) 프로그램 실행 파일
C:\Program Files\smart-service\smart-serviceu.exe
C:\Program Files\smart-service\uninst_smart-service.exe :: 스마트서비스(smart-service) 프로그램 삭제 파일
C:\Windows\user_config.dat
C:\Windows\user_config.exe :: 서비스(smart-service Update Service) 등록 파일, user_config 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\smart-service\smart-service-se.exe
 - SHA-1 : e5b6378ae90bddeff797ed5868ab4eced4ab2893
 - ESET : a variant of Win32/Adware.Kraddare.EB (VT : 6/53)

 

C:\Program Files\smart-service\smart-service.exe
 - SHA-1 : 84236e04bb323ad5c48a1a4f1b8836429b984ae2
 - AhnLab V3 365 Clinic : PUP/Win32.Security.R92856 (VT : 34/55)

 

C:\Program Files\smart-service\smart-serviceu.exe
 - SHA-1 : 1a28f75093cb05ab817263a49c77a7699581c881
 - Avira : Adware/Kraddare.200760 (VT : 7/55)

 

C:\Program Files\smart-service\uninst_smart-service.exe
 - SHA-1 : 1ee3e014b84d4445e0686383143ed7edf664342b
 - avast! : Win32:Adware-AZI [Adw] (VT : 15/55)

 

C:\Windows\user_config.exe
 - SHA-1 : ac7ca22ecfa5d4a86f0fd23c5260a85be815b5ac
 - AhnLab V3 365 Clinic : PUP/Win32.UserChange.R23731 (VT : 22/55)

"(주)유씨에프, UCF, Uniq in Co.ltd" 3종의 디지털 서명이 포함된 스마트서비스(smart-service) 프로그램은 "C:\Program Files\smart-service" 폴더에 파일을 생성하며, 함께 설치되는 user_config 프로그램은 Windows 폴더에 파일을 생성합니다.

user_config 프로그램은 "smart-service Update Service (표시 이름 : smart-service Support Service)" 서비스 항목을 등록하여 시스템 시작시 ["C:\Windows\user_config.exe" /update] 파일을 자동 실행한 후 종료 처리됩니다.

스마트서비스(smart-service) 프로그램은 "smart-serviceservice (표시 이름 : smart-service service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\smart-service\smart-service-se.exe" 파일을 자동 실행하도록 구성되어 있습니다.

이를 통해 자동 실행된 서비스 파일(smart-service-se.exe)은 "C:\Program Files\smart-service\smart-serviceu.exe" 파일을 로딩하여 프로그램 업데이트 및 추가적인 제휴 프로그램 정보를 체크하여 특정 부팅 시점에서는 "Windows Update" 창 생성을 통해 다양한 광고 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

이후 백그라운드 방식으로 "C:\Program Files\smart-service\smart-service.exe" 파일을 로딩한 후 종료 처리됩니다.

참고로 사용자가 "C:\Program Files\smart-service\smart-service.exe" 파일을 직접 실행할 경우 IP 확인 및 시스템 최적화 기능을 수행할 수 있는 스마트서비스 창이 생성됩니다.

 

"Windows Update" 창 생성을 통한 광고 프로그램 배포 방식

특정 시스템 부팅 과정에서 실행된 "C:\Program Files\smart-service\smart-serviceu.exe" 파일은 "Windows Update" 창을 생성하여 광고 프로그램 설치를 유도할 수 있습니다.

 

특히 필수 프로그램 영역에서는 체크 체크된 상태이지만, 스크롤 바를 내려서 표시되는 제휴 프로그램은 체크된 상태로 존재하여 사용자의 눈을 속이고 있습니다.

또한 사용자가 "Windows Update" 창을 종료(※ 좌측 상단의 닫기(X) 버튼 클릭)"업데이트 기능을 실행하지 않으시겠습니까?"라는 메시지 창을 생성하여 버튼을 잘못 클릭할 경우 자동으로 광고 프로그램이 설치될 수 있으므로 주의하시기 바랍니다.

 

(1) 검색 도우미 : LuckyTool - vastav (2014.11.1)

  • h**p://down.lucky****.net/lucky11/luckyinstall.exe (SHA-1 : 8ff698a98bb278a6d0cc3ba805a12660d3333b9b) - AhnLab V3 365 Clinic : PUP/Win32.LuckyTool.C578948 (VT : 2/55)

LuckyTool 악성 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내에 다양한 폴더(파일)명으로 설치되며, 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않으므로 프로그램 삭제에 어려움이 있습니다.

 

(2) 검색 도우미 : Poppin Search (2014.10.4)

  • h**p://down.poppin**.co.kr/download/PoppinSearch_fa_hinst.exe (SHA-1 : b0ea46c12c53dbfa3bad50da8fa221e58d2e54fc) - AhnLab V3 365 Clinic : PUP/Win32.Enumerate.R37949 (VT : 24/55)

(3) 검색 도우미 : Shoplus version 1.0 + spupdate version 1.0 (2014.4.22)

  • h**p://*search.co.kr/shopplus/ucflv/ishoplus.exe (SHA-1 : f0716fac2f05269a51568a1ef881fb5d3a24b26f) - AhnLab V3 365 Clinic : PUP/Win32.KeyPang.R50149 (VT : 21/55)
  • h**p://ad2.****search.co.kr/shopplus/ucflv/sshoplus.exe (SHA-1 : e8b3ab9abfe25f54b4f473cfa48eaac4c5a60676) - Avira : TR/Graftor.136219.8 (VT : 17/55)
  • h**p://ad2.****search.co.kr/shopplus/ucflv/sspupdate.exe (SHA-1 : cdf117f840da6c4d9dae186d516ba0eee89b855b) - AhnLab V3 365 Clinic : PUP/Win32.KeyPang.R103596 (VT : 25/55)

(4) 검색 도우미 : freeset control (2014.11.11)

  • h**p://download.free***.co.kr/v1/A93622766.exe (SHA-1 : 7c531229ddb7ededf0d85bd16d2fe20753597c3b) - AhnLab V3 365 Clinic : PUP/Win32.AdHelper.R124755 (VT : 4/55)

(5) 삭제 기능을 제공하지 않는 "Savepop + WizLine Toolbar" 광고 프로그램 주의 (2014.7.3)

  • h**p://***line.co.kr/app/download/partner/22/setup_agent.exe (SHA-1 : 47a952a6faf5b0d711718f6cf3e3c72b47bbbb73) - Kaspersky : not-a-virus:AdWare.Win32.PopAd.aqx (VT : 6/55)
  • h**p://save***.co.kr/app/download/partner/22/savepop_agent.exe (SHA-1 : 0ad95b7fa04442f7f4308b506c0182280e679634) - AhnLab V3 365 Clinic : PUP/Win32.savepop.C644685 (VT : 11/55)
  • h**p://***line.co.kr/app/download/partner/22/wizline_agent.exe (SHA-1 : 69be83c297acda09c15f4f5e0a82bb8172c56bf8) - AVG : Generic.E0E (VT : 24/55)

(6) 악성코드 제거 프로그램 : 백신스마트(Vaccine-Smart) (2014.11.29)

  • h**p://update.vaccine-*****.co.kr/setupa/vaccine-smartsetup_utiljjang.exe (SHA-1 : eb505b6ca74d14e0bb58c2c73cc2c00acb574991) - Avira : TR/FakeAV.3409656.2 (VT : 29/55)

(7) 개인정보 보안 솔루션 : 사이버보안(Cyber-Boan) (2014.12.2)

  • h**p://update.cyber-****.co.kr/ssdfer/cyber-boansetup_utiljjang.exe (SHA-1 : 4d1e5d3735eec1eabc5add6f4c723ed9d971ed4d) - Avira : Adware/Kraddare.C (VT : 5/55)

(8) PC 최적화 프로그램 : 피씨패스트(PC-Fast) (2014.12.3)

  • h**p://update.**-fast.co.kr/set/pc-fastsetup_utiljjang.exe (SHA-1 : 6d29b95e786b98db7d71dbbd218b47426fe1578b) - Kaspersky : HEUR:Trojan-FakeAV.Win32.Onescan.gen (VT : 27/55)

■ 스마트서비스(smart-service) 프로그램 삭제 방법

 

스마트서비스(smart-service),  user_config 프로그램은 제어판에 등록하지 않으므로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(1) 스마트서비스(smart-service) 프로그램 삭제

"C:\Program Files\smart-service\uninst_smart-service.exe" 파일을 찾아 직접 실행하면 프로그램 삭제를 진행할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\smart-service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\smart-serviceservice

 

(2) user_config 프로그램 삭제 방법

"보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 ["C:\Windows\user_config.exe" /delete] 명령어를 입력 및 실행하시면 프로그램 삭제가 이루어집니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\smart-service Update Service

 

스마트서비스(smart-service) 프로그램은 부팅시마다 업데이트 창이 생성되는 것이 아니라 특정 일자(시간)에 생성되어 사용자의 부주의한 클릭을 유도하여 자동으로 다수의 광고 프로그램이 화면에 표시되지 않는 방식으로 설치될 수 있으므로 주의하시기 바랍니다.