본문 바로가기
벌새::Analysis

검색 도우미 : Microsoft Platform SmartRun Management Tools

울지않는 벌새 2016. 4. 9. 15:00

인터넷 검색 시 자동으로 광고창을 생성하며 추가적인 인터넷 쇼핑몰 바로가기 아이콘을 생성할 수 있는 국내에서 제작된 "Microsoft Platform SmartRun Management Tools" 광고 프로그램(SHA-1 : 4c7b90a1fee6b61bd6c2cb404ba548c5a73c55b1 - Kaspersky : not-a-virus:AdWare.Win32.PopAd.big)에 대해 살펴보도록 하겠습니다.

해당 광고 프로그램은 다수의 광고 프로그램을 사용자 몰래 설치하는 배포 프로그램을 통해 설치될 수 있으므로 주의하시기 바랍니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Program Files\SmartRun
C:\Program Files\SmartRun\Icons
C:\Program Files\SmartRun\Icons\11st.ico
C:\Program Files\SmartRun\Icons\반디.ico
C:\Program Files\SmartRun\Icons\우체국favicon.ico
C:\Program Files\SmartRun\Icons\auction.ico
C:\Program Files\SmartRun\Icons\favicon_gs.ico
C:\Program Files\SmartRun\Icons\favicon_hmall.ico
C:\Program Files\SmartRun\Icons\favicon_homenshopping.ico
C:\Program Files\SmartRun\Icons\favicon-ssg.ico
C:\Program Files\SmartRun\Icons\favicon.ico
C:\Program Files\SmartRun\Icons\favicon롯데홈쇼핑.ico
C:\Program Files\SmartRun\Icons\ie.ico
C:\Program Files\SmartRun\smartrun.exe :: 메모리 상주 프로세스
C:\Program Files\SmartRun\smartrun.ico
C:\Program Files\SmartRun\srhost.exe :: 메모리 상주 프로세스
C:\Program Files\SmartRun\srlchr.exe :: 시작 프로그램(SmartLauncher) 등록 파일, "스마트런 모니터링" 실행 파일
C:\Program Files\SmartRun\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\SmartRun\Update
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smartrun
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smartrun\스마트런 모니터링 시작.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smartrun\스마트런 모니터링 중지.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smartrun\스마트런 홈페이지.lnk
C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smartrun
C:\Users\(로그인 계정명)\Desktop\스마트런 모니터링.lnk

 

생성 파일 진단 정보

 

C:\Program Files\SmartRun\smartrun.exe
 - SHA-1 : dcd2aafb1c301c86a80ea91bb3c227f62ea16fd0
 - AVG : Generic.2E7

 

C:\Program Files\SmartRun\srhost.exe
 - SHA-1 : fd91f364b0b67c1371d4a9e6a216ed1f3a0b18b9
 - AVG : Generic.2E7

 

C:\Program Files\SmartRun\srlchr.exe
 - SHA-1 : c77bda98b9856210c719bc56768e57ab7e0acf48
 - AVG : Win32/DH{gVQTJQ?}

 

WiseCommerce 디지털 서명이 포함된 "Microsoft Platform SmartRun Management Tools" 광고 프로그램은 "C:\Program Files\SmartRun" 폴더에 파일을 생성합니다.

 

Windows 시작 시 RunOnce 시작 프로그램 영역에 SmartLauncher 자동 실행값을 통해 ["C:\Program Files\SmartRun\srlchr.exe" /Start] 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 srlchr.exe 파일은 "C:\Program Files\SmartRun\srhost.exe" + "C:\Program Files\SmartRun\smartrun.exe" 2종의 파일을 추가 로딩하여 특정 서버와 TLS 암호화 통신을 통해 프로그램 업데이트 정보를 체크한 후 메모리에 상주하도록 구성되어 있습니다.

  • 스마트런 모니터링 시작 : "C:\Program Files\SmartRun\srlchr.exe"
  • 스마트런 모니터링 중지 : "C:\Program Files\SmartRun\srlchr.exe" /Stop

또한 바탕 화면 및 프로그램 목록에 "스마트런 모니터링" 바로가기를 추가하여 실행 시 "C:\Program Files\SmartRun\srlchr.exe" 파일을 동작하도록 구성되어 있습니다.

외형적으로는 11번가, 옥션, G마켓, 롯데홈쇼핑, 우체국쇼핑 등 다수의 인터넷 쇼핑몰 바로가기 아이콘을 생성할 수 있도록 구성되어 있지만, 테스트 당시에는 Daum, Google, ZUM 검색 과정에서 다음과 같은 광고창 생성 행위만을 확인할 수 있었습니다.

예를 들어 Daum 검색을 통해 특정 키워드를 이용하여 인터넷 검색 시 자동으로 헝그리앱 사이트가 자동으로 오픈되는 동작이 발생할 수 있습니다.

연결 과정을 살펴보면 다수의 광고 매체를 경유하여 Google 단축 URL 주소(goo.gl)값을 통해 헝그리앱 사이트 연결이 이루어지고 있습니다.

 

"Microsoft Platform SmartRun Management Tools" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 smartrun.exe, srhost.exe 2개의 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Microsoft Platform SmartRun Management Tools" 삭제 항목(게시자 : JJ Media Corp.)을 실행하여 프로그램 제거를 진행하시기 바랍니다.

 

(c) 프로그램 제거 후 삭제되지 않은 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smartrun" 폴더와 레지스트리 편집기(regedit)를 실행하여 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\SmartLauncher" 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - SmartLauncher = "C:\Program Files\SmartRun\srlchr.exe" /Start
HKEY_CURRENT_USER\Software\Smartrun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SmartRun

 

 

"Microsoft Platform SmartRun Management Tools" 광고 프로그램은 마이크로소프트(Microsoft) 관련 프로그램처럼 이름을 등록하여 사용자의 눈을 속이고 있으며, 인터넷 검색 시 원치않는 사이트 연결이 이루어질 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

태그

, , , , , , , , , , , , , , , , , , , , , , , , , ,

티스토리툴바