본문 바로가기

벌새::Analysis

AhnLab V3 Lite 무료 백신에 추가된 SmartBridge 광고 프로그램 자동 설치 (2022.7.2)

반응형

최근 바이러스 제로 보안 카페에서 제기된 AhnLab V3 Lite 무료 백신 설치 시 광고 기능이 자동 추가되는 부분에 대한 정보를 공개하였습니다.

 

AhnLab V3 Lite 무료 백신 홈(HOME) 화면

 

[바이러스 제로 보안 카페] AhnLab V3 Lite 4.0 설치 시 타사 Smart Bridge 광고 프로그램 설치 확인 (내용 수정) (2022.7.1)

 

이에 실제 설치되는 방식과 기본적인 광고 동작 방식 및 삭제 방법에 대해 알아보도록 하겠습니다.

 

안랩(AhnLab) 공식 사이트에서 제공하는 AhnLab V3 Lite 무료 백신을 설치할 경우 추가적인 안내 메시지없이 다음과 같은 광고 프로그램을 2022년 4월경부터 자동 설치합니다.

 

AhnLab V3 Lite 무료 백신을 통해 자동 설치된 Smartbridge 광고 프로그램

C:\Program Files\AhnLab\V3Lite40\sb
C:\Program Files\AhnLab\V3Lite40\sb\SmartBridge.exe (SHA-1 : 7221ed74c53511442e13eb35106a9da8d7df7a68)
C:\Program Files\AhnLab\V3Lite40\sb\SmartBridgeStarter.exe (SHA-1 : adfce1ad6b1b78ac081b7b486dbc36701ce61e25)

HKEY_CURRENT_USER\Software\SmartBridge_al
HKEY_CURRENT_USER\Software\SmartBridge_al_UUID

"C:\Program Files\AhnLab\V3Lite40\sb" 폴더에 자동 생성된 SmartBridge 광고 프로그램이 추가적인 사용자 동의없이 자동 설치되며, 해당 파일에는 "CW Company" 디지털 서명이 포함된 광고 파일이 존재합니다.

 

SmartBridge.exe

SmartBridge.exe 파일을 확인해보면 "D:\Projects\MobonAD_Ahnlab\SmartBridge\obj\Release\SmartBridge.pdb" 디버깅 정보를 통해 모비온 광고 플랫폼으로 보입니다.

 

설치된 파일을 자동 실행을 위한 값은 존재하지 않으며, 다음과 같은 조건에서 최초 광고를 위한 추가적인 동작이 진행됩니다.

 

"V3에서 알려드립니다!" 메시지 창

Windows 부팅 과정에서 "V3에서 알려드립니다!" 메시지 창이 자동 생성될 수 있으며, 해당 창에는 "맞춤형 즐겨찾기 설정" 박스가 기본적으로 체크되어 있는데 사용자가 기본값 그대로 "확인" 버튼을 클릭하여 창을 종료할 경우 다음과 같은 동작이 진행됩니다.

 

SmartBridge 광고 프로그램 동작 방식

SmartBridge 광고 프로그램은 AhnLab V3 Lite 무료 백신의 "C:\Program Files\AhnLab\V3Lite40\v3lite4exp.exe" 파일(AhnLab V3 Lite Expansion UI)이 SmartBridgeStarter.exe 파일을 로딩한 후 광고 기능을 수행하는 SmartBridge.exe 파일을 추가 실행하는 구조이며, 이를 통해 결과적으로 다음과 같은 파일이 추가 생성될 수 있습니다.

 

쿠팡 아이콘 파일 (C:\Program Files\AhnLab\V3Lite40\sb\ico\쿠팡!.ico)

SmartBridge.exe 광고 파일은 숨김(H) 폴더 속성값을 가진 "C:\Program Files\AhnLab\V3Lite40\sb\ico" 폴더를 생성한 후 내부에 쿠팡 아이콘 파일을 생성합니다.

 

Microsoft Edge 웹 브라우저 즐겨찾기에 추가된 쿠팡

이를 통해 Microsoft Edge 웹 브라우저의 즐겨찾기 모음에 쿠팡을 추가하며, 해당 즐겨찾기를 통해 쿠팡 접속 시 광고 서버(admin.smartbridge.co.kr)를 경유하여 제휴 코드가 추가된 형태로 쿠팡 쇼핑몰 접속이 이루어집니다.

 

그 외에도 "C:\Users\%UserName%\Favorites\쿠팡!.lnk" 즐겨 찾기 폴더에 쿠팡 바로 가기를 생성하여 ["C:\Program Files\Internet Explorer\iexplore.exe" https://admin.smartbridge.co.kr/bookmark.php?c=MTY=] 명령줄을 통해 Internet Explorer 웹 브라우저 즐겨찾기로 쿠팡 연결이 이루어지게 구성되어 있습니다. 

 

SmartBridge 광고 프로그램에 대해 추가적인 조사를 해보면 미확인 배포 경로를 통해 광고 프로그램 방식으로도 설치되는 것으로 보입니다.

 

SmartBridge 광고 프로그램 생성 폴더

SmartBridge 광고 프로그램은 기본적으로 "C:\Users\%UserName%\AppData\Roaming\Smartbridge" 폴더 내에 파일을 생성하며 다양한 웹 브라우저를 사용하는 과정에서 즐겨찾기 등의 광고 행위가 이루어질 것으로 보입니다.

 

SmartBridge 광고 프로그램 제거 항목

AhnLab V3 Lite 무료 백신이 아닌 다른 경로를 통해 설치된 해당 광고 프로그램은 "Smartbridge" 프로그램 항목을 통해 제거를 할 수 있습니다.

 

하지만 AhnLab V3 Lite 무료 백신을 통해 설치된 SmartBridge 광고 프로그램은 제거 기능을 따로 제공하지 않고 있습니다.

 

AhnLab V3 Lite 환경 설정 : PC 보안 - 고급 설정 - 고급 검사

만약 AhnLab V3 Lite 무료 백신 사용자 중 SmartBridge 광고 파일 제거를 원한다면 AhnLab V3 Lite 환경 설정에서 "PC 보안 - 고급 설정 - 고급 검사" 항목에서 제공하는 "V3 제품 보호" 체크 박스를 임시 해제(OFF)한 후 "C:\Program Files\AhnLab\V3Lite40\sb" 폴더를 찾아 직접 삭제하시기 바랍니다.

 

폴더 삭제 후에는 반드시 "V3 제품 보호" 옵션을 활성화(ON)하여 이전 상태로 설정하시기 바랍니다.

 

단, 파일을 삭제하여도 차후 자동으로 다시 설치될 수 있을 수 있으므로 근본적인 해결 방법은 아닐 것으로 보입니다.

 

AhnLab V3 Lite 무료 백신의 이용 약관에서는 이런 제휴 프로그램 설치에 대한 내용이 존재하지만, 개인적으로 외부 프로그램을 추가 설치할 때는 설치 과정을 인지할 수 있는 추가적인 정보를 반드시 제공해야 한다고 생각합니다.

728x90
반응형
  • 최영기 2022.07.04 09:37 댓글주소 수정/삭제 댓글쓰기

    안랩 라이트 뿐만이 아닌거 같아요..제 피씨에는 온라인 뱅킹에 필요한 Anlab online Security와 Anlab Safe Transaction 두개만 있는데도 계속 업데이트 하라고 나타납니다. 저놈의 CW Company의 smart bridge 업데이트 하라고 나옵니다. 작작 해야지..인터넷 뱅킹 필요 프로그램은 은행에서 돈받지 않나요?

  • 이마도 한달동안 광고 끄는 기능 을 많이 활성화 해서 아닐까 생각이 드네요.그런데 저렇게 삭제 해도 버전 업데이트를 통해서 다시 추가 될것 같습니다.어차피 통신하는것 방화벽 으로 규칙 만들어 차단 하는 것도 효과가 있을것 같습니다.

  • 맞춤형 즐겨찾기 설정 체크 안하고 확인하면 해당 애드웨어 설치되지않는지 물어봅니다.

  • 탈렁티 2022.07.12 11:10 댓글주소 수정/삭제 댓글쓰기

    BC카드 isp결제 시 이용되는 페이북이란 결제 시스템으로 결제를 종료한 후에도 계속 smartbridge의 권한부여 여부를 묻는 팝업이 뜨는걸 발견 했습니다. 여기도 심어 놓은듯 합니다.

  • 프로패셔널 2022.08.04 14:30 댓글주소 수정/삭제 댓글쓰기

    C:\Users\%UserName%\AppData\Roaming\Smartbridge 여기서 uninstall 같은 파일있는데 그걸로 구성요소 삭제해봤습니다. 삭제되긴하네요 레지스트리까지 지울려니 프린트에 스마트브릿지란 같은 네임파일이 있어 혼돈하면 안되서 파일경로명 확인하면서 삭제중입니다 필히 아마추어는 레지스트리 만지지마세용~~하드디스크부터 많은 어플리케이션이나 프로그램에 유사명의 파일이 많으니 명심하시길!

  • ㅇㅇ 2022.08.09 08:13 댓글주소 수정/삭제 댓글쓰기

    인터넷 결제 프로그램 최신버전 아니래서 업데이트했더니 결제하고 난 뒤에
    강제로 파일 실행하네요 ㅋㅋ 관리자 권한 없으니까 나한테 권한달라고 하면서
    안랩 아니어도 달라그러네 미쳤네 이것들

  • ddd 2022.08.12 22:45 댓글주소 수정/삭제 댓글쓰기

    아니 설치할때 동의를 구하는것도 아니고 그냥 깔리는거면 불법아닌가요? 미친 쿠팡새끼들