검색 도우미 : Microsoft Platform SmartRun Management Tools 울지않는벌새 : Security, Movie & Society

인터넷 검색 시 자동으로 광고창을 생성하며 추가적인 인터넷 쇼핑몰 바로가기 아이콘을 생성할 수 있는 국내에서 제작된 "Microsoft Platform SmartRun Management Tools" 광고 프로그램(SHA-1 : 4c7b90a1fee6b61bd6c2cb404ba548c5a73c55b1 - Kaspersky : not-a-virus:AdWare.Win32.PopAd.big)에 대해 살펴보도록 하겠습니다.

동의없이 광고 프로그램을 대량 설치하는 "Windows Network IP Manager" 프로그램 주의 (2016.3.22)

해당 광고 프로그램은 다수의 광고 프로그램을 사용자 몰래 설치하는 배포 프로그램을 통해 설치될 수 있으므로 주의하시기 바랍니다.

생성 폴더 / 파일 등록 정보

C:\Program Files\SmartRun
C:\Program Files\SmartRun\Icons
C:\Program Files\SmartRun\Icons\11st.ico
C:\Program Files\SmartRun\Icons\반디.ico
C:\Program Files\SmartRun\Icons\우체국favicon.ico
C:\Program Files\SmartRun\Icons\auction.ico
C:\Program Files\SmartRun\Icons\favicon_gs.ico
C:\Program Files\SmartRun\Icons\favicon_hmall.ico
C:\Program Files\SmartRun\Icons\favicon_homenshopping.ico
C:\Program Files\SmartRun\Icons\favicon-ssg.ico
C:\Program Files\SmartRun\Icons\favicon.ico
C:\Program Files\SmartRun\Icons\favicon롯데홈쇼핑.ico
C:\Program Files\SmartRun\Icons\ie.ico
C:\Program Files\SmartRun\smartrun.exe :: 메모리 상주 프로세스
C:\Program Files\SmartRun\smartrun.ico
C:\Program Files\SmartRun\srhost.exe :: 메모리 상주 프로세스
C:\Program Files\SmartRun\srlchr.exe :: 시작 프로그램(SmartLauncher) 등록 파일, "스마트런 모니터링" 실행 파일
C:\Program Files\SmartRun\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\SmartRun\Update
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smartrun
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smartrun\스마트런 모니터링 시작.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smartrun\스마트런 모니터링 중지.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smartrun\스마트런 홈페이지.lnk
C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smartrun
C:\Users\(로그인 계정명)\Desktop\스마트런 모니터링.lnk

생성 파일 진단 정보

C:\Program Files\SmartRun\smartrun.exe
- SHA-1 : dcd2aafb1c301c86a80ea91bb3c227f62ea16fd0
- AVG : Generic.2E7

C:\Program Files\SmartRun\srhost.exe
- SHA-1 : fd91f364b0b67c1371d4a9e6a216ed1f3a0b18b9
- AVG : Generic.2E7

C:\Program Files\SmartRun\srlchr.exe
- SHA-1 : c77bda98b9856210c719bc56768e57ab7e0acf48
- AVG : Win32/DH{gVQTJQ?}

WiseCommerce 디지털 서명이 포함된 "Microsoft Platform SmartRun Management Tools" 광고 프로그램은 "C:\Program Files\SmartRun" 폴더에 파일을 생성합니다.

Windows 시작 시 RunOnce 시작 프로그램 영역에 SmartLauncher 자동 실행값을 통해 ["C:\Program Files\SmartRun\srlchr.exe" /Start] 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 srlchr.exe 파일은 "C:\Program Files\SmartRun\srhost.exe" + "C:\Program Files\SmartRun\smartrun.exe" 2종의 파일을 추가 로딩하여 특정 서버와 TLS 암호화 통신을 통해 프로그램 업데이트 정보를 체크한 후 메모리에 상주하도록 구성되어 있습니다.

스마트런 모니터링 시작 : "C:\Program Files\SmartRun\srlchr.exe"
스마트런 모니터링 중지 : "C:\Program Files\SmartRun\srlchr.exe" /Stop

또한 바탕 화면 및 프로그램 목록에 "스마트런 모니터링" 바로가기를 추가하여 실행 시 "C:\Program Files\SmartRun\srlchr.exe" 파일을 동작하도록 구성되어 있습니다.

외형적으로는 11번가, 옥션, G마켓, 롯데홈쇼핑, 우체국쇼핑 등 다수의 인터넷 쇼핑몰 바로가기 아이콘을 생성할 수 있도록 구성되어 있지만, 테스트 당시에는 Daum, Google, ZUM 검색 과정에서 다음과 같은 광고창 생성 행위만을 확인할 수 있었습니다.

예를 들어 Daum 검색을 통해 특정 키워드를 이용하여 인터넷 검색 시 자동으로 헝그리앱 사이트가 자동으로 오픈되는 동작이 발생할 수 있습니다.

연결 과정을 살펴보면 다수의 광고 매체를 경유하여 Google 단축 URL 주소(goo.gl)값을 통해 헝그리앱 사이트 연결이 이루어지고 있습니다.

■ "Microsoft Platform SmartRun Management Tools" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 smartrun.exe, srhost.exe 2개의 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com ) 프로그램에 등록된 "Microsoft Platform SmartRun Management Tools" 삭제 항목(게시자 : JJ Media Corp.)을 실행하여 프로그램 제거를 진행하시기 바랍니다.

(c) 프로그램 제거 후 삭제되지 않은 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smartrun" 폴더와 레지스트리 편집기(regedit)를 실행하여 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\SmartLauncher" 레지스트리 값을 찾아 삭제하시기 바랍니다.

생성 레지스트리 등록 정보

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- SmartLauncher = "C:\Program Files\SmartRun\srlchr.exe" /Start
HKEY_CURRENT_USER\Software\Smartrun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SmartRun

"Microsoft Platform SmartRun Management Tools" 광고 프로그램은 마이크로소프트(Microsoft) 관련 프로그램처럼 이름을 등록하여 사용자의 눈을 속이고 있으며, 인터넷 검색 시 원치않는 사이트 연결이 이루어질 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

'벌새::Analysis' 카테고리의 다른 글

FTP 서버 해킹을 통한 비트코인(BitCoin) 가상 화폐 채굴 프로그램 유포 주의 (2016.4.11) (13)	2016.04.11
검색 도우미 : Windows Application TopsAdon (3)	2016.04.10
검색 도우미 : Microsoft Platform SmartRun Management Tools (0)	2016.04.09
파일 암호화와 추가적인 악성코드를 설치하는 Shade 랜섬웨어 주의 (2016.4.7) (0)	2016.04.07
모바일 결제 방식이 추가된 Rokku 랜섬웨어 주의 (2016.4.4) (1)	2016.04.04
국내 악성코드 : 플러스매칭(PlusMatching) - fusewill (0)	2016.04.02

AVG, Generic.2E7, goo.gl, JJ Media Corp., kaspersky, Microsoft, Microsoft Platform SmartRun Management Tools, not-a-virus:AdWare.Win32.PopAd.big, regedit, runonce, SmartLauncher, SmartRun, smartrun.exe, srhost.exe, srlchr.exe, TLS, Win32/DH{gVQTJQ?}, WiseCommerce, 광고창, 디지털 서명, 레지스트리 편집기, 마이크로소프트, 바로가기 아이콘, 삭제, 스마트런 모니터링, 시작 프로그램, 헝그리앱

트랙백 0개, 댓글 0개가 달렸습니다

울지않는벌새 : Security, Movie & Society

검색 도우미 : Microsoft Platform SmartRun Management Tools

'벌새::Analysis' 카테고리의 다른 글

댓글을 달아 주세요

티스토리툴바