본문 바로가기

벌새::Analysis

검색 도우미 : Visual Tools for SmartInfo Runtime - English

반응형

Windows 부팅시 다양한 광고 사이트를 자동으로 연결하며, 바탕 화면에 웹하드 등의 바로가기 아이콘을 생성할 수 있는 국내에서 제작된 "Visual Tools for SmartInfo Runtime - English" 광고 프로그램에 대해 살펴보도록 하겠습니다.

확인된 배포 파일(SHA-1 : 44e216924f9d1ad435357d8478a7345ab27b4fa1 - AhnLab V3 : Adware/Win32.Installer.C973623)은 2015년 9월 1일경 발견되었으며, 진단명을 봐서는 부정한 방법으로 유포가 이루어졌던 것으로 추정됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SmartInfo
C:\Program Files\SmartInfo\smarti.exe :: 시작 프로그램(SmartInfo) 등록 파일
C:\Program Files\SmartInfo\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\Desktop\파일조 무료다운.lnk

 

[생성 파일 진단 정보]

 

C:\Program Files\SmartInfo\smarti.exe
 - SHA-1 : 958ab1871667d6f04328d01a98324e771301ebee
 - AhnLab V3 365 Clinic : PUP/Win32.Agent.C975612

WiseCommerce 디지털 서명이 포함된 "Visual Tools for SmartInfo Runtime - English" 광고 프로그램은 "C:\Program Files\SmartInfo" 폴더에 파일을 생성합니다.

  • 시작 프로그램(DTDCert) : iexplore http://goo.gl/Fg6FKv
  • 시작 프로그램(SmartInfo) : "C:\Program Files\SmartInfo\smarti.exe" startup

프로그램이 설치된 환경에서는 Windows 시작시 2개의 시작 프로그램 등록값을 통해 다음과 같은 광고 행위를 수행할 수 있습니다.

 

1. 구글(Google) 단축 URL 주소(goo.gl)를 이용한 광고창 생성

 

Windows 시작시 DTDCert 시작 프로그램으로 등록된 구글(Google) 단축 URL 주소를 Internet Explorer 웹 브라우저를 이용하여 자동으로 오픈하도록 구성되어 있으며, 변종에 따라 goo.gl URL 주소는 변경될 수 있습니다.

연결된 주소는 특정 광고 서버를 경유하여 다양한 검색 키워드 값을 통해 웹 사이트로 연결되며, 일정 횟수를 초과할 경우에는 제휴 코드를 받아오지 못하도록하여 연결되지 않도록 세팅되어 있습니다.

 

2. SmartInfo 시작 프로그램 등록 파일 : "C:\Program Files\SmartInfo\smarti.exe" startup

  • h**p://****post.co.kr/app/linkguide_lg00.exe

Windows 시작시 SmartInfo 시작 프로그램 등록값을 통해 자동 실행된 ["C:\Program Files\SmartInfo\smarti.exe" startup] 파일은 특정 서버에서 암호화된 정보를 체크하며, "Windows Resource for LinkGuide SDK" 광고 프로그램 설치 파일(SHA-1 : 18f37038cb0adacdcaf20b386102455b0e5788ff - AhnLab V3 365 Clinic : PUP/Win32.Helper.C1026215)을 다운로드 시도할 수 있습니다.

또한 바탕 화면 바로가기 아이콘 설정값을 체크하며 사용자가 바탕 화면에 생성된 웹하드 바로가기 아이콘을 생성하여 접속시 제휴 코드(cl.ilikeclick.com)를 경유하여 접속되도록 구성되어 있습니다.

 

참고로 해당 바로가기 아이콘은 기존에 유사 변종 프로그램에서 발견된 적이 있으므로 참고하시기 바랍니다.

 

■ "Visual Tools for SmartInfo Runtime - English" 광고 프로그램 삭제 방법

 

"Visual Tools for SmartInfo Runtime - English" 광고 프로그램은 마치 마이크로소프트(Microsoft) 업체에서 제공하는 프로그램처럼 사용자의 눈을 속일 목적으로 "Microsecure Corporation" 업체로 표시를 하고 있습니다.

프로그램 삭제를 위해서는 제어판에 등록된 "Visual Tools for SmartInfo Runtime - English" 삭제 항목을 실행하여 제거를 진행하시기 바라며, 프로그램 삭제 후에는 바탕 화면에 생성된 웹하드 바로가기 아이콘(C:\Users\(사용자 계정)\Desktop\파일조 무료다운.lnk)을 찾아 직접 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\SmartInfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - DTDCert = iexplore http://goo.gl/Fg6FKv
 - SmartInfo = "C:\Program Files\SmartInfo\smarti.exe" startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SmartInfo

 

국내 광고 프로그램처럼 보이지 않도록 설치되는 "Visual Tools for SmartInfo Runtime - English" 프로그램은 부팅시마다 다양한 웹 사이트를 자동으로 연결하여 불편을 유발하고 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형