본문 바로가기

벌새::Analysis

검색 도우미 : SmartAddress

반응형

Internet Explorer 웹 브라우저의 주소 표시줄에 표시되는 검색 기록 및 URL 제안 설정을 변경하여 특정 광고 서버를 경유하도록 제작된 SmartAddress 광고 프로그램에 대해 살펴보도록 하겠습니다.

설치 과정을 살펴보면 배포 파일<SHA-1 : 425e603552b1288ab2715421f32642a0e854d6b4 - avast! : Win32:Evo-gen [Susp]>을 통해 서버에서 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\SA_SETUP.exe" 파일<SHA-1 : 18a5cd452ae410f41352059d5406c2960a28ec98 - Dr.Web : Trojan.Adkor.140>로 생성한 후 다음과 같이 프로그램을 설치합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\smartaddress
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress.dll
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress.exe :: 예약 작업(SMARTADDRESS) 등록 파일, 메모리 상주 프로세스(32/64비트)
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress64.dll
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress64.exe :: 메모리 상주 프로세스(64비트)
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\unins000.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\SMARTADDRESS

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress.exe
 - SHA-1 : c0fb62229b801a9b09850ab3f89cb04afe30cfb8
 - Avira : TR/ATRAPS.Gen

"DreamWiz Internet Co.,Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\smartaddress" 폴더에 파일을 생성합니다.

예약 작업 영역에 SMARTADDRESS 작업 스케줄러 값을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress.exe" 파일을 자동 실행하여 업데이트 체크를 수행합니다.

이를 통해 32비트 운영 체제에서는 SmartAddress.exe 파일을 메모리에 상주시키며, 64비트 운영 체제에서는 "SmartAddress.exe + SmartAddress64.exe" 파일(SHA-1 : c403f029648129b4108ee581b89726d2cb2d3550)을 로딩하여 메모리에 상주시킵니다.

 

또한 SmartAddress 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저 실행시 SmartAddress.dll (32비트) (SHA-1 : 0c14f812f215280550fb34d3eed34147cf8b6a46) 또는 SmartAddress64.dll (64비트) (SHA-1 : 6544fff59ea0612d074c0c9b7a2ccf07048b7fd1) 광고 모듈을 추가하여 다음과 같은 광고 행위를 수행할 수 있습니다.

우선 사용자가 다나와(Danawa) 쇼핑몰 사이트에 접속한 적이 있다고 가정할 경우 정상적인 PC 환경에서는 Internet Explorer 웹 브라우저의 주소 표시줄에 관련 검색 키워드를 입력시 검색 기록과 Bing 제안 정보가 노출됩니다.

하지만 SmartAddress 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 주소 표시줄에서 Bing 제안 정보가 제거된 상태로 표시되며 노출되는 검색 기록은 광고 서버에서 불러오는 것을 알 수 있습니다.

이를 통해 주소 표시줄에 노출된 정보를 클릭하여 웹 사이트 접속시 광고 서버를 경유하여 접속되는 것을 알 수 있습니다.

 

SmartAddress 광고 프로그램 삭제 방법

 

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 SmartAddress.exe 또는 SmartAddress64.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 실행 중인 Internet Explorer 웹 브라우저를 종료한 후 제어판 또는 체크잇(CheckIt : www.checkitinfo.com)에 등록된 SmartAddress 또는 "KTH SmartAddress" 삭제 항목을 이용하여 제거하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\SmartAddress
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{06C6077B-8938-41B1-9899-693D14486483}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{36F0DD88-4575-492D-9B75-5DE7D96369CC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SMARTADDRESS

다양한 악성코드 및 불필요한 프로그램(PUP) 설치 및 실행을 차단하기 위해서는 40여종 이상의 백신 엔진과 자체 진단을 제공하는 앱체크(AppCheck) 보조 백신을 함께 사용하시길 권장합니다.

728x90
반응형