울지않는벌새 블로그의 주요 콘텐츠 중의 하나가 다양한 국내 광고 프로그램에 대한 소개가 아닐까 싶습니다.
한 동안 국내 광고 프로그램에 대한 정보를 공개하지 않은 사이에 신종 광고 프로그램이 다수 확인되고 있는데 그 중에서 4종의 광고 프로그램에 대한 간단한 정보를 공개해 드리겠습니다.
1. Smart Service
| 파일 경로 | C:\Users\%UserName%\AppData\Roaming\Smart Service\Smart Service.exe |
| SHA-1 | 928f5527cd5dc51af8cddb594038a5161dec5416 |
| 디지털 서명 | Mcorporation Co.,Ltd |
| 파일 설명 | SmartService |
"Smart Service" 이름으로 설치된 해당 광고 프로그램은 "Mcorporation Co.,Ltd" 디지털 서명이 포함되어 있습니다.
▷ 컴퓨터 속도에 영향을 주는 "Visual Runtime 11.0.0" 프로그램의 정체는? (2020.3.6)
해당 디지털 서명은 기존에 소개한 "Visual Runtime 11.0.0" 광고 프로그램에서 사용하고 있었던 공통점이 존재합니다.
2. 인공지능(AI) 인터넷 사용 도우미
| 파일 경로 | C:\Users\%UserName%\AppData\Roaming\WinServiceSup\winconSe.exe |
| SHA-1 | b43b86fcdb48d2a1ce816d89cbc507cf6f6a4489 |
| 진단명 | PUP/Win32.KorAd.R355229 (AhnLab V3) |
| 디지털 서명 | Plan11 Co.,Ltd. / Corporation Plan11 Co.,Ltd |
| 파일 설명 | recomm-Main |
실제 프로그램 이름은 존재하지 않을 것으로 보이는 해당 프로그램은 웹 브라우저 사용 중 추천탭을 노출하여 광고를 표시하는 기능을 가지고 있을 것으로 보입니다.
▷ 인공지능(AI) 인터넷 도우미 winclientservice.exe 파일의 정체 (2018.8.11)
▷ <하우리 악성코드 분석 정보> Adware.Kraddare.1644416
배포 방식은 기존에 소개한 인공지능(AI) 인터넷 도우미 프로그램과 동일하게 다른 응용 프로그램의 제휴 방식으로 추가되어 설치되며, 실제 설치된 광고 프로그램은 프로그램 목록에 표시되지 않는 방식으로 프로그램 이름이 존재하지 않을 것으로 보입니다.
3. Swiftdatainfo Version 1.0
| 파일 경로 | C:\Users\%UserName%\AppData\Roaming\SwiftDataInfo\swiftdata.exe |
| SHA-1 | bcc0072c3580033f82e665f716b16fcac276e55d |
| 디지털 서명 | Build Corp |
"Swiftdatainfo Version 1.0" 이름으로 설치된 해당 광고 프로그램은 "Build Corp" 디지털 서명이 포함되어 있습니다.
swiftdata.exe 파일을 살펴보면 웹 브라우저를 이용하는 과정에서 추가적인 사이트 연결이 이루어질 것으로 보이며, 실제 피해자의 인터넷 글을 보면 Chrome 웹 브라우저의 새 창을 오픈 시 자동으로 사이트가 열렸다가 사라지는 동작이 있다고 합니다.
4. GoodTab
| 파일 경로 | C:\Users\%UserName%\AppData\Roaming\GoodTab\gclientMng.exe |
| SHA-1 | 4fc7f1decb3f63dfac7380d2d2d8eb44633877ab |
| 진단명 | Trojan.GenericKD.43741398 (BitDefender) |
| 디지털 서명 | Plan11 Co.,Ltd. / Corporation Plan11 Co.,Ltd |
| 파일 설명 | gLineMng |
2번에서 소개한 인공지능(AI) 인터넷 도우미 광고 프로그램과 동일한 2종의 디지털 서명(Plan11 Co.,Ltd. / Corporation Plan11 Co.,Ltd)이 포함된 GoodTab 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\GoodTab" 폴더에 프로그램을 설치하여 광고 행위를 수행할 수 있습니다.
위와 같이 여전히 국내에서는 프로그램 이름으로는 광고 프로그램 여부를 판단하기 매우 어려운 이름으로 설치되는 종류가 다수 확인되고 있으므로 이런 프로그램이 설치된 경우에는 기본적으로 멀웨어 제로(Malware Zero) 악성코드 제거 도구를 이용하여 검사를 해보시기 바랍니다.