[악성코드분석] 스마트보안 :: SmartBoan

 

국내에서 제작되어져 악성파일을 실행 시 개인정보흔적을 제거하는 프로그램을 설치하며 사용자의 유료결제를 유도하는 SmartBoan 프로그램에 대하여 살펴보도록 하겠습니다.

실행파일 정보

URL 정보

hxxp://update.zone****.co.kr/updater/popfile.exe hxxp://momocell.com/log/install.php?mac=맥주소&code=000A

생성파일 정보

C:\Documents and Settings\(사용자계정)\Application Data\popfile.exe - 시작프로그램 등록 C:\Documents and Settings\(사용자계정)\바탕 화면\00.bat - 설치 후 poploader.exe 파일 삭제

레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] popfile="C:\Documents and Settings\Administrator\Application Data\popfile.exe" [HKCU\Software\popFile] version="1.00"

poploader.exe 실행 시 popfile.exe 파일을 다운로드하며 popfile.exe를 실행하여 사용자 PC의 Mac 주소와 코드정보를 momocell.com 사이트로 전달한 후 종료됩니다. 설치정보를 전달하여 배포자에게 금전적 수익이 발생될 것으로 추정됩니다. 또한 윈도우 재시작시에도 동일한 동작을 수행 후 종료됩니다. 추가적인 동작은 하지 않았으나 popfile.exe 파일을 살펴보면 원격서버로 부터 1021.exe 파일을 다운받아 자동 설치 되도록 하고 있습니다.     추가 설치 프로그램 (1021.exe) SmartBoan 이란 프로그램으로 컴퓨터의 사용흔적 및 사생활 보호를 목적으로 만들어진 프로그램입니다. 또한 삭제 시 결제를 유도하고 있으며 별도의 해지신청이 없을 경우 자동으로 연장되도록 하여 추가결제를 유도하고 있습니다.

생성파일 정보

C:\Program Files\SmartBoan\SmartBoan.exe C:\Program Files\SmartBoan\SmartBoancfg.exe C:\Program Files\SmartBoan\SmartBoanMon.exe C:\Program Files\SmartBoan\uninst.exe

레지스트리 정보

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] SmartBoan="C:\Program Files\SmartBoan\SmartBoan.exe"

시작프로그램으로 등록되어 재부팅 시 자동 시작되며 자동검사하여 결제를 유도하고 있으며 프로그램 종료시에도 결제를 하도록 하여 사용자의 불편을 주고 있습니다.

사생활 보호랍시고 검사한 항목이 정말 가~~관 입니다. 브라우져 옵션에서 클릭 한 번이면 삭제되는 걸 가지고 유료 결제를 하라고 하네요..뭐 이런 개XXX 같은 프로그램이 다 있을까요..

제거방법

SmartBoan 프로그램만 삭제하면 재부팅 시 popfile.exe 파일로 인하여 재설치가 되므로 전부 삭제를 하셔야 합니다. 1. popfile.exe 제거 C:\Documents and Settings\(사용자계정)\Application Data\ 폴더로 이동 후 popfile.exe 파일을 제거하시면 됩니다. 2. SmartBoan 제거 [제어판] -> [프로그램 추가/제거] 에서 SmartBoan 프로그램을 삭제하시면 됩니다.