국내에서 제작된 Send Anywhere 프로그램은 링크를 통해 파일 전송을 지원하는 기능을 제공하고 있는 유/무료 프로그램으로 알려져 있습니다.
그런데 해당 프로그램 설치 또는 업데이트 과정에서 어떠한 정보 및 이용약관 정보도 제공하지 않는 "Smart search" 제휴 프로그램이 포함되어 있는 것을 확인할 수 있습니다.
Send Anywhere 프로그램 설치 이후 사용자 PC에 설치된 프로그램 정보를 찾아봐도 Smart search 프로그램에 대해 제거 기능이 전혀 존재하지 않기에 관련 프로그램이 어떤 프로그램인지 살펴보도록 하겠습니다.
Send Anywhere 프로그램 설치 완료 시점에서 사용자가 "Smart search" 프로그램 체크 박스를 해제하지 않은 경우 업데이트 서버로부터 WinServiceHost.exe 파일을 추가 다운로드하여 다음과 같은 위치에 파일을 생성합니다.
C:\Users\%UserName%\AppData\Roaming\serviceHost
C:\Users\%UserName%\AppData\Roaming\serviceHost\TimeStamp.dt
C:\Users\%UserName%\AppData\Roaming\serviceHost\WinServiceHost.exe
- SHA-1 : 9d73181cdb6c99541e7b3ca5ffd271ab23035cca
- Norton : Trojan.Gen.MBT
해당 프로그램은 "C:\Users\%UserName%\AppData\Roaming\serviceHost" 폴더를 생성하여 내부에 WinServiceHost.exe 파일을 생성한 후 자동 실행됩니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- WinServiceHost = "C:\Users\%UserName%\AppData\Roaming\serviceHost\WinServiceHost.exe" /start
특히 Windows 시작 시 자동 실행 목적으로 WinServiceHost 시작 프로그램 등록값을 레지스트리에 등록합니다.
특히 WinServiceHost.exe 파일에는 "Plan11 Co.,Ltd." 디지털 서명이 포함되어 있는 것을 확인할 수 있습니다.
해당 디지털 서명을 기반으로 확인을 해보면 기존에 다뷰 인디(DaVu Indy) 프로그램에서 발견되었던 삭제를 지원하지 않던 "인공지능(AI) 인터넷 사용 도우미" 프로그램과 여러가지 면에서 일치하는 특징을 발견할 수 있습니다.
테스트 상에서는 기존처럼 쉽게 광고 행위가 확인되지는 않고 있지만, 파일 코드를 봐서는 사용자가 웹 브라우저를 이용하여 사이트 접속 과정에서 광고탭 생성 등의 행위가 이루어질 것으로 판단됩니다.
특히 Smart search 광고 프로그램은 프로그램 상에서 제거 기능을 추가적을 제공하지 않으며, 동작 파일 이름 역시 Windows 시스템 파일처럼 구성되어 쉽게 찾기 어려울 수 있습니다.
그러므로 Send Anywhere 프로그램 이용 시 원치않게 광고 프로그램을 설치한 경우에는 "C:\Users\%UserName%\AppData\Roaming\serviceHost" 폴더가 존재한지 여부를 확인하여 삭제 및 레지스트리 값도 함께 삭제하시기 바랍니다.