본문 바로가기

벌새::Analysis

검색 도우미 : Windows Smart Search

반응형

인터넷 이용 시 광고창(광고탭) 생성 및 바로가기 아이콘 생성, 백그라운드 방식으로 광고 목적으로 생성된 웹사이트 접속을 통해 광고 수익을 얻는 국내에서 제작된 "Windows Smart Search" 광고 프로그램(SHA-1 : 9dd466561a766cd7adf503bb3628ac3bbf0bbb2a - BitDefender : Gen:Variant.Graftor.290338)에 대해 살펴보도록 하겠습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartWord
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartWord\SmartWord 실행.lnk
C:\Users\%UserName%\AppData\Local\WSW
C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_bcon.dll
C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_bdgon.dll
C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_n152.dll
C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_onet.dll
C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_pop.dll
C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_tab.dll
C:\Users\%UserName%\AppData\Local\WSW\smartsearch.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Local\WSW\uninstall.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\AppData\Local\WSW\wshost.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartWord
C:\Users\%UserName%\AppData\Roaming\WSW
C:\Users\%UserName%\AppData\Roaming\WSW\ckslog.exe :: 시작 프로그램(SmartwordChecker) 등록 파일, 바탕 화면 바로가기 아이콘(SmartWord) 실행 파일
C:\Users\%UserName%\AppData\Roaming\WSW\uninst.exe
C:\Users\%UserName%\Desktop\SmartWord.lnk

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_bcon.dll
 - SHA-1 : e5ccb94269e66147d220d64c2fd5837efe273e03
 - BitDefedner : Trojan.Generic.17431560

 

C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_bdgon.dll

 - SHA-1 : 11eae544af5dd686294631d662c4b1fc861c4f30
 - BitDefender : Gen:Variant.Adware.Kraddare.26

 

C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_onet.dll

 - SHA-1 : 7df610855721791d88692ac5243ea42392f6b9f7
 - Kaspersky : not-a-virus:AdWare.Win32.Popuper.rs

 

C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_pop.dll
 - SHA-1 : 1f5a6748fffcaf29c203791be3aa2ae679610900
 - ESET : a variant of Win32/Adware.SafeTerra.A

 

C:\Users\%UserName%\AppData\Local\WSW\Lib\sw_tab.dll
 - SHA-1 : 0cfc32d6b117f50cfa76a7e3d981f8a8ab2bbfc1
 - ESET : a variant of Win32/Adware.Kraddare.LV

 

C:\Users\%UserName%\AppData\Local\WSW\smartsearch.exe

 - SHA-1 : ed147cf6edfbb361c9960402e3ff5844138c7f5c
 - ESET : a variant of Win32/Adware.Kraddare.LS

 

C:\Users\%UserName%\AppData\Local\WSW\wshost.exe

 - SHA-1 : b5af8a51f094de83b90da8b3405009684554e3d5
 - ESET : a variant of Win32/Adware.Kraddare.LS

 

C:\Users\%UserName%\AppData\Roaming\WSW\ckslog.exe

 - SHA-1 : bb6ae4a704b4b17f01d99f3fb09d9a83c2030f74
 - ESET : a variant of Win32/Adware.Kraddare.LS

 

C:\Users\%UserName%\AppData\Roaming\WSW\uninst.exe
 - SHA-1 : d98003a1e37787784156b6216034f45ac95ecc63
 - AhnLab V3 365 Clinic : PUP/Win32.ShortCut.C196331

 

 

"Wetelecomunication Co.,Ltd" 디지털 서명이 포함된 "Windows Smart Search" 광고 프로그램은 다음과 같은 2개의 폴더에 파일을 각각 생성합니다.

 

  • C:\Users\%UserName%\AppData\Local\WSW
  • C:\Users\%UserName%\AppData\Roaming\WSW

기본적으로 "Windows Smart Search" 프로그램은 가상 환경(Oracle VM VirtualBox, VMware) 파일 및 내부 설정값을 체크하여 프로그램 설치 및 광고 행위를 제한합니다.

 

 

또한 파일 분석 및 정보 수집 도구, PC방 관리 솔루션 파일(WindowexeFFkiller.exe, WindowexeFFkillerAdd.exe, WindowexeAllkiller.exe, WindowexeLog.exe, WindowexeLogMail.exe, picavncsvc.exe, runscanner.exe, OLLYDBG.exe, gtlexp.exe, dlxsvc.exe, dlx5.exe, dlc.exe, UPM.exe, pcwc.exe, pcwc_ag.exe, ntmacc.exe)을 체크하여 동작 여부가 결정됩니다.

 

특히 분석 방해 목적으로 추가된 파일 정보가 기존의 WiseComm, Windows Network IP Manager와 연관성이 깊은 것으로 보아 제작자가 참고하였거나 동일할 것으로 추정됩니다.

 

Windows 시작 시 SmartwordChecker 시작 프로그램 등록값을 통해 ["C:\Users\%UserName%\AppData\Roaming\WSW\ckslog.exe" /FetchCheck] 파일을 자동 실행하도록 구성되어 있으며, 그 외에도 바탕 화면에 생성된 SmartWord 바로가기 아이콘을 실행할 경우 ckslog.exe 파일을 실행하도록 구성되어 있습니다.

 

이를 통해 광고 기능을 수행하는 smartsearch.exe, wshost.exe 파일을 로딩하여 메모리에 상주하며, "C:\Users\%UserName%\AppData\Local\WSW\Lib" 폴더 내부에 생성된 "jncmarketing Co., Ltd" 디지털 서명이 포함된 광고 모듈을 비롯한 다수의 광고 행위를 위한 DLL 광고 파일을 로딩할 수 있습니다.

 

1. smartsearch.exe 파일 광고 기능

 

smartsearch.exe 파일은 광고 모듈(DLL)을 로딩하여 사용자가 인터넷 검색 및 웹 사이트 접속 시 광고창(광고탭) 생성 등의 기능을 수행할 수 있습니다.

 

포털 사이트를 이용한 인터넷 검색 중 자동으로 생성되는 광고탭 행위의 연결 정보를 살펴보면 특정 광고 서버를 경유하여 CPS 제휴 코드가 포함된 상태로 연결되는 것을 알 수 있습니다.

 

또한 최초 "Windows Smart Search" 광고 프로그램 설치 시에는 생성되지 않는 다양한 바로가기 아이콘(※ 예시 : 곡 성 다운로드.url)을 바탕 화면에 생성하는 행위가 포함되어 있으므로, 사용자가 직접 추가한 바로가기 아이콘이 아닐 경우에는 바탕 화면, 즐겨찾기 영역에서 찾아 삭제하시기 바랍니다.

 

2. ckslog.exe 파일 광고 기능

 

 

ckslog.exe 파일은 smartsearch.exe 파일을 통해 추가적으로 실행되는 구조이며, 실행된 파일은 다수의 웹 서버와 통신을 활발하게 시도하는 행위를 목격할 수 있습니다.

 

대표적인 연결 정보를 살펴보면 광고 목적으로 제작된 웹사이트의 특정 게시글에 대해 접근하는 행위가 백그라운드 방식으로 진행됩니다.

 

 

실제 사용자 PC 화면 상에서는 노출되지 않지만 연결되는 게시글은 다수의 광고 배너가 포함되어 있으며, 마치 사용자가 접속한 것처럼 조작하여 광고 배너 노출을 통한 수익을 얻는 방식으로 추정됩니다.

 

 

특히 과도한 연결 및 프로그램 저품질 문제로 ckslog.exe 파일 실행 중 "Windows Search Host Controller의 작동이 중지되었습니다." 오류 메시지가 발생할 수 있으며, 이를 통해 종료된 ckslog.exe 파일은 일정 시간이 경과하면 smartsearch.exe 파일이 재실행하여 지속적인 동작이 발생할 수 있습니다.

 

"Windows Smart Search" 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 smartsearch.exe, wshost.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 실행 중인 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Smart Search" 프로그램(제작사 : Microsmart Corporation)을 실행하여 프로그램 제거를 진행하시기 바랍니다.( "Windows Smart Search Support" 이름으로 설치되는 변종이 있으므로 참고하시기 바랍니다.)

 

프로그램 제거 후에는 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartWord" 폴더를 찾아 삭제하시기 바라며, 바탕 화면 및 즐겨찾기 영역에 자신도 모르게 생성된 바로가기 아이콘이 존재할 경우 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - SmartwordChecker = "C:\Users\%UserName%\AppData\Roaming\WSW\ckslog.exe" /FetchCheck
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SmartWord

 

 

"Windows Smart Search" 광고 프로그램은 기본적으로 분석을 방해할 목적으로 가상 환경 및 분석 도구를 체크하는 코드가 포함되어 있으므로 "국내 광고 프로그램 설치 및 동작 방해하는 방법" 게시글을 참고하여 프로그램을 사전에 설치해둘 경우 많은 도움이 될 수 있습니다.

 

728x90
반응형