검색 도우미 : smart cam bridge on service

특정 웹 사이트 접속 또는 인터넷 검색시 광고 배너(창)가 생성될 수 있는 국내에서 제작된 "smart cam bridge on service" 광고 프로그램(SHA-1 : 7cb19066e2cdd9463b8ad54aad2889b385b76930)에 대해 살펴보도록 하겠습니다.

• 검색 도우미 : ORUM 언인스톨 (2014.7.18)

• 검색 도우미 : wizbiz uninstall (2015.8.24)

• 검색 도우미 : QadSoftware 1.0 (2015.12.30)

해당 광고 프로그램은 기존에 유사성을 가진 변종이 확인되고 있으며, 이 외에도 "qbridge Network Service" 광고 프로그램도 존재한 것으로 파악되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\smartcam
C:\Users\(사용자 계정)\AppData\Roaming\smartcam\Mtodt.tmd
C:\Users\(사용자 계정)\AppData\Roaming\smartcam\mu.dll
C:\Users\(사용자 계정)\AppData\Roaming\smartcam\scmon.exe :: 서비스(scmonService) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\smartcam\scupdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\smartcam\scupdate.log
C:\Users\(사용자 계정)\AppData\Roaming\smartcam\smartcam.dat
C:\Users\(사용자 계정)\AppData\Roaming\smartcam\smartcam.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\smartcam\smartcam.ini
C:\Users\(사용자 계정)\AppData\Roaming\smartcam\smartcamuninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\smartcam\version.txt

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\smartcam\scupdate.exe
 - SHA-1 : 0169aa3a9f52c78c8e8a750da3fb844e4b1f7ad8
 - Norton : SAPE.Heur.BA7F7

blogmania 디지털 서명이 포함된 "smart cam bridge on service" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\smartcam" 폴더에 파일을 생성합니다.

"scmonService (표시 이름 : scmonService)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\smartcam\scmon.exe" 파일(SHA-1 : 130c001b07da16682ca79e2ffb830624f9ae3f79)을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

이를 통해 업데이트 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\smartcam\scupdate.exe" 파일을 로딩하여 특정 서버에서 프로그램 버전 체크를 통한 업데이트를 수행할 수 있습니다.

이후 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\smartcam\smartcam.exe" 파일(SHA-1 : 764170e5ddc774daafaf443eb2c6adaea456dfff)을 로딩하여 메모리에 상주하도록 구성되어 있습니다.

"smart cam bridge on service" 광고 프로그램의 기능을 살펴보면 Chrome, Internet Explorer 웹 브라우저를 이용하여 11번가, G마켓, 옥션 등 특정 대형 인터넷 쇼핑몰 및 포털 사이트 접속시 또는 특정 검색 키워드를 이용한 인터넷 검색시 광고 배너 또는 팝업창을 생성할 수 있을 것으로 추정됩니다.

 

■ "smart cam bridge on service" 광고 프로그램 삭제 방법

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "scmonService"] 명령어를 입력 및 실행하여 scmon.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 smartcam.exe 프로세스를 찾아 종료하시기 바라며, smartcam.exe 프로세스 종료시에는 권한 문제로 반드시 "모든 사용자의 프로세스 표시" 항목에 체크한 후 종료를 시도하시기 바랍니다.

(c) 실행 중인 웹 브라우저를 모두 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "smart cam bridge on service" 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바랍니다.

 

(d) 프로그램 삭제 후 제거되지 않은 "C:\Users\(사용자 계정)\AppData\Roaming\smartcam" 폴더를 찾아 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\smartcam
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\scmonService

 

"smart cam bridge on service" 프로그램 이름으로는 광고 기능을 수행하는지 쉽게 확인하기 어려우며, 프로그램이 설치된 환경에서 웹 사이트 접속시 원치않는 광고창 생성으로 불편을 겪을 수 있으므로 주의하시기 바랍니다.