Internet Explorer 웹 브라우저의 주소 표시줄에 표시되는 검색 기록 및 URL 제안 설정을 변경하여 특정 광고 서버를 경유하도록 제작된 SmartAddress 광고 프로그램에 대해 살펴보도록 하겠습니다.
설치 과정을 살펴보면 배포 파일<SHA-1 : 425e603552b1288ab2715421f32642a0e854d6b4 - avast! : Win32:Evo-gen [Susp]>을 통해 서버에서 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\SA_SETUP.exe" 파일<SHA-1 : 18a5cd452ae410f41352059d5406c2960a28ec98 - Dr.Web : Trojan.Adkor.140>로 생성한 후 다음과 같이 프로그램을 설치합니다.
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress.dll
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress.exe :: 예약 작업(SMARTADDRESS) 등록 파일, 메모리 상주 프로세스(32/64비트)
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress64.dll
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress64.exe :: 메모리 상주 프로세스(64비트)
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\unins000.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\SMARTADDRESS
C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress.exe
- SHA-1 : c0fb62229b801a9b09850ab3f89cb04afe30cfb8
- Avira : TR/ATRAPS.Gen
"DreamWiz Internet Co.,Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\smartaddress" 폴더에 파일을 생성합니다.
예약 작업 영역에 SMARTADDRESS 작업 스케줄러 값을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress.exe" 파일을 자동 실행하여 업데이트 체크를 수행합니다.
이를 통해 32비트 운영 체제에서는 SmartAddress.exe 파일을 메모리에 상주시키며, 64비트 운영 체제에서는 "SmartAddress.exe + SmartAddress64.exe" 파일(SHA-1 : c403f029648129b4108ee581b89726d2cb2d3550)을 로딩하여 메모리에 상주시킵니다.
또한 SmartAddress 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저 실행시 SmartAddress.dll (32비트) (SHA-1 : 0c14f812f215280550fb34d3eed34147cf8b6a46) 또는 SmartAddress64.dll (64비트) (SHA-1 : 6544fff59ea0612d074c0c9b7a2ccf07048b7fd1) 광고 모듈을 추가하여 다음과 같은 광고 행위를 수행할 수 있습니다.
우선 사용자가 다나와(Danawa) 쇼핑몰 사이트에 접속한 적이 있다고 가정할 경우 정상적인 PC 환경에서는 Internet Explorer 웹 브라우저의 주소 표시줄에 관련 검색 키워드를 입력시 검색 기록과 Bing 제안 정보가 노출됩니다.
하지만 SmartAddress 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 주소 표시줄에서 Bing 제안 정보가 제거된 상태로 표시되며 노출되는 검색 기록은 광고 서버에서 불러오는 것을 알 수 있습니다.
이를 통해 주소 표시줄에 노출된 정보를 클릭하여 웹 사이트 접속시 광고 서버를 경유하여 접속되는 것을 알 수 있습니다.
■ SmartAddress 광고 프로그램 삭제 방법
(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 SmartAddress.exe 또는 SmartAddress64.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 실행 중인 Internet Explorer 웹 브라우저를 종료한 후 제어판 또는 체크잇(CheckIt : www.checkitinfo.com)에 등록된 SmartAddress 또는 "KTH SmartAddress" 삭제 항목을 이용하여 제거하시기 바랍니다.
HKEY_CURRENT_USER\Software\SmartAddress
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{06C6077B-8938-41B1-9899-693D14486483}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{36F0DD88-4575-492D-9B75-5DE7D96369CC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SMARTADDRESS
다양한 악성코드 및 불필요한 프로그램(PUP) 설치 및 실행을 차단하기 위해서는 40여종 이상의 백신 엔진과 자체 진단을 제공하는 앱체크(AppCheck) 보조 백신을 함께 사용하시길 권장합니다.
감사합니다. 덕분에 쓸데없는 프로그램을 제거했습니다
고맙습니다.^^
제가지금현재 그거때문에 고생인데요 그프로그램때문에 디스크에 손상이온것같아요 삭제 할려니 디스크 구조가 손상이되엇다고 삭제가 안되네요 어찌하죠? ㅠㅠ
이런 광고 프로그램 때문에 디스크 손상까지 오지는 않을겁니다. 아마도 다른 문제가 아닌가 싶습니다.
원치않는 프로그램이 다수 설치되어 있다고 생각하시면 http://hummingbird.tistory.com/notice/4859 내용을 참고하여 run 파일을 제작해서 메일로 보내주시면 확인해 보겠습니다.