Internet Explorer 웹 브라우저의 주소 표시줄에 표시되는 검색 기록 및 URL 제안 설정을 변경하여 특정 광고 서버를 경유하도록 제작된 SmartAddress 광고 프로그램에 대해 살펴보도록 하겠습니다.

설치 과정을 살펴보면 배포 파일<SHA-1 : 425e603552b1288ab2715421f32642a0e854d6b4 - avast! : Win32:Evo-gen [Susp]>을 통해 서버에서 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\SA_SETUP.exe" 파일<SHA-1 : 18a5cd452ae410f41352059d5406c2960a28ec98 - Dr.Web : Trojan.Adkor.140>로 생성한 후 다음과 같이 프로그램을 설치합니다.

"DreamWiz Internet Co.,Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\smartaddress" 폴더에 파일을 생성합니다.

예약 작업 영역에 SMARTADDRESS 작업 스케줄러 값을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\smartaddress\SmartAddress.exe" 파일을 자동 실행하여 업데이트 체크를 수행합니다.

이를 통해 32비트 운영 체제에서는 SmartAddress.exe 파일을 메모리에 상주시키며, 64비트 운영 체제에서는 "SmartAddress.exe + SmartAddress64.exe" 파일(SHA-1 : c403f029648129b4108ee581b89726d2cb2d3550)을 로딩하여 메모리에 상주시킵니다.

또한 SmartAddress 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저 실행시 SmartAddress.dll (32비트) (SHA-1 : 0c14f812f215280550fb34d3eed34147cf8b6a46) 또는 SmartAddress64.dll (64비트) (SHA-1 : 6544fff59ea0612d074c0c9b7a2ccf07048b7fd1) 광고 모듈을 추가하여 다음과 같은 광고 행위를 수행할 수 있습니다.

우선 사용자가 다나와(Danawa) 쇼핑몰 사이트에 접속한 적이 있다고 가정할 경우 정상적인 PC 환경에서는 Internet Explorer 웹 브라우저의 주소 표시줄에 관련 검색 키워드를 입력시 검색 기록과 Bing 제안 정보가 노출됩니다.

하지만 SmartAddress 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 주소 표시줄에서 Bing 제안 정보가 제거된 상태로 표시되며 노출되는 검색 기록은 광고 서버에서 불러오는 것을 알 수 있습니다.

이를 통해 주소 표시줄에 노출된 정보를 클릭하여 웹 사이트 접속시 광고 서버를 경유하여 접속되는 것을 알 수 있습니다.

■ SmartAddress 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 SmartAddress.exe 또는 SmartAddress64.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 실행 중인 Internet Explorer 웹 브라우저를 종료한 후 제어판 또는 체크잇(CheckIt : www.checkitinfo.com)에 등록된 SmartAddress 또는 "KTH SmartAddress" 삭제 항목을 이용하여 제거하시기 바랍니다.

다양한 악성코드 및 불필요한 프로그램(PUP) 설치 및 실행을 차단하기 위해서는 40여종 이상의 백신 엔진과 자체 진단을 제공하는 앱체크(AppCheck) 보조 백신을 함께 사용하시길 권장합니다.