본문 바로가기

벌새::Analysis

악성 파일로 사용자 몰래 설치되는 "Smart internet API" 광고 프로그램 주의 (2016.6.8)

반응형

2016년 3~4월경에 유포된 것으로 추정되는 Internet Explorer 웹 브라우저의 기본 검색 공급자를 가로채기 시도하는 국내에서 제작된 "Smart internet API" 광고 프로그램이 악성 파일을 통해 사용자 몰래 설치된 정황이 확인되어 살펴보도록 하겠습니다.

 

 

최초 해당 이슈를 확인하게 된 동기는 Windows 종료 시 "FrmBrowser: SmartTech.exe - 응용 프로그램 오류" 창이 생성된다는 글을 통해 조사를 시작하였습니다.

 

확인된 악성 파일 4종은 2016년 4월 12일에 VirusTotal에 등록되어 있으며 세부적인 정보는 다음과 같습니다.

 

  • SHA-1 : 6d162374dc6d22d8f3cc9407a7bd3b7db0ac7e93 - AhnLab V3 : Worm/Win32.AutoRun.C88795
  • SHA-1 : 6e9e484bfb0bcf0216782fb1aa411cfadabe56d1 - AVG : Win32/DH{TlclgQw?}
  • SHA-1 : c4f202807c5363be4b69f45b3cd1dec73b7bca55 - Sophos : Mal/DelpDldr-F
  • SHA-1 : ecfcc6a542d86aa2c9cfec9fe5e7a5c8e63f2068 - 알약(ALYac) : Gen:Variant.Barys.1484

이들 악성 파일은 모두 특정 Cafe24 계정으로부터 "Smart internet API" 광고 프로그램의 설치 파일(SHA-1 : 1a64dc00a8057d4bcbe554e72c9f1eed699d7458 - Dr.Web : Trojan.Adkor.359)을 다운로드하는 기능이 포함되어 있습니다.

 

추정컨대 악성 파일은 임의의 프로그램을 통해 자동 실행되었을 것으로 추정되며 이를 통해 사용자 몰래 "Smart internet API" 광고 프로그램 설치 파일을 다운로드하여 임시 폴더(%Temp%)에 isochecker.exe 파일로 생성되어 프로그램 설치가 진행됩니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\(로그인 계정명)\AppData\Local\Temp\isochecker.exe
C:\Users\(로그인 계정명)\AppData\Local\Temp\radarea0104.config
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\conf.smarttech
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\setup.ico
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\SmartTech_h.dll
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\SmartTech_r.exe :: 메모리 상주 프로세스
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\SmartTech_u.exe
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\SmartTech.exe :: 시작 프로그램(SmartTech) 등록 파일, 메모리 상주 프로세스
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\smartUtil.dll
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\unins000.dat
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\unins000.exe :: 프로그램 삭제 파일
C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\unins000.msg

 

생성 파일 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Local\Temp\isochecker.exe
 - SHA-1 : 1a64dc00a8057d4bcbe554e72c9f1eed699d7458
 - Dr.Web : Trojan.Adkor.359

 

C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\SmartTech_r.exe
 - SHA-1 : 119d5bbef5ce3723e3d82838d6181f3c9c22fb7e
 - Malwarebytes : PUP.Optional.INDOIT

 

 

"INDOIT Co., Ltd." 디지털 서명이 포함된 "Smart internet API" 광고 프로그램은 "C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech" 폴더에 파일을 생성합니다.

 

Windows 시작 시 SmartTech 시작 프로그램 등록값을 통해 ["C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\SmartTech.exe" /l] 파일(SHA-1 : 19741df3e1e25a9f4347011d2c1fa17ca61e7a71)을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 SmartTech.exe 파일은 "C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\SmartTech_u.exe" 파일(SHA-1 : 64d91ca40d4f3df996b4b3e887bfb7b61ad0c08b)을 임시 로딩하여 프로그램 업데이트 체크합니다.

 

이후 ["C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\SmartTech_r.exe" /s] 파일을 추가 로딩하여 메모리에 상주시킨 후 SmartTech_u.exe 파일은 자동 종료 처리됩니다.

 

참고로 추가 실행된 SmartTech_r.exe 파일은 광고 구성값 정보를 체크하는 광고 기능을 수행하는 파일입니다.

 

설치된 "Smart internet API" 광고 프로그램은 Internet Explorer 웹 브라우저의 주소 표시줄에 키워드 검색을 시도할 경우 기본 검색 공급자 연결을 가로채기 시도하여 네이트(NATE) 검색 결과를 표시합니다.

 

참고로 네이트(NATE) 검색은 다음(Daum) 검색과 통합된 상태이므로 연결된 최종 주소는 "search.daum.net"로 표시됩니다.

 

"Smart internet API" 광고 프로그램 삭제 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 SmartTech_r.exe / SmartTech.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판에 등록된 "Smart internet API" 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바라며, 특히 해당 프로그램 정보에서는 "nb.nate.com"으로 표시하여 네이트(NATE) 정식 프로그램처럼 사용자에게 혼동을 유발하고 있습니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software
 - radarea = CZ0nDYqmDYqmE0
 - smarttech = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - SmartTech = "C:\Users\(로그인 계정명)\AppData\Roaming\SmartTech\SmartTech.exe" /l
HKEY_CURRENT_USER\Software\SmartTech
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D5FAFC1D-55D4-4B52-86DA-C4C8E6AD5440}_is1

 

 

"Smart internet API" 광고 프로그램이 설치된 PC 환경에서는 사용자 몰래 광고 프로그램 설치를 시도할 수 있는 악성 프로그램이 존재할 가능성이 매우 높으므로 점검을 해보시기 바랍니다.

 

728x90
반응형