본문 바로가기

벌새::Analysis

검색 도우미 : 키워드탭(KeywordTab)

반응형
국내에서 제작되어 인터넷 검색시 멀티탭 브라우저 방식의 광고창을 생성하는 검색 도우미 키워드탭(KeywordTab) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 확인된 배포 방식은 최근 등장한 Windows Onestep System 악성 파일을 설치할 경우, 사용자 몰래 설치되는 다수의 프로그램 중 하나로 추가된 opentab.exe(MD5 : 460be36ebcbacf96ff47a806bc04364f) 파일을 통해 유포가 이루어지고 있습니다.

참고로 해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.Xema (VirusTotal : 25/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

그 후, opentab.exe 악성 파일은 [C:\Documents and Settings\(사용자 계정)\Application Data] 폴더에 OpenTab-install.exe(MD5 : ec4ab26ed2be2e3ad711a8d2bb0ff0cc) KeywordTab 설치 파일을 다운로드하는 Dropper를 다운로드합니다.

OpenTab-install.exe 파일은 다시 [C:\Program Files\KeywordTab] 폴더에 KeywordTab 설치 파일인 KeywordTab_hanfile_Setup.exe(MD5 : eec5b9731f8ae0040f9e8b2d07b5872a) 파일을 다운로드하여 프로그램을 설치하고 있습니다.

 

해당 프로그램은 기존의 다양한 유사 프로그램이 존재하였므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\OpenTab-install.exe :: KeywordTab 설치 파일(Dropper)
C:\Program Files\KeywordTab

C:\Program Files\KeywordTab\catedomain.dt
C:\Program Files\KeywordTab\category.dat
C:\Program Files\KeywordTab\category.dt
C:\Program Files\KeywordTab\domainmatch.dat
C:\Program Files\KeywordTab\except.dat
C:\Program Files\KeywordTab\hka.dll
C:\Program Files\KeywordTab\KeywordTab_hanfile_Setup.exe :: KeywordTab 설치 파일
C:\Program Files\KeywordTab\keywordTab.dll :: BHO 등록 파일
C:\Program Files\KeywordTab\KeywordTabch.exe
C:\Program Files\KeywordTab\Keywordtabhper.exe :: 시작 프로그램 등록 파일
C:\Program Files\KeywordTab\KeywordTabopen.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\KeywordTab\KeywordTabUninstall.exe :: 프로그램 삭제 파일
C:\Program Files\KeywordTab\KeywordTabup.exe :: 시작 프로그램 등록 파일
C:\Program Files\KeywordTab\keywordtabup.exe.bak

C:\Program Files\KeywordTab\mainsite.dat
C:\Program Files\KeywordTab\vd.dat

 

해당 프로그램은 Windows 시작시 Keywordtabhper.exe, KeywordTabopen.exe, KeywordTabup.exe 3개의 파일을 시작 프로그램으로 등록하여 자동 실행되며, 이 중에서 KeywordTabopen.exe 파일을 메모리에 상주하도록 구성되어 있습니다.

 

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 그림과 같은 멀티탭 방식의 새 창이 열리면서 키워드탭(KeywordTab) 관련 광고가 생성되는 것을 확인할 수 있습니다.

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : keywordtab
게시자 : everyzone
CLSID : {98D68C3C-CF16-4CA8-BBDB-11E0EDB62E36}
파일 : C:\Program Files\KeywordTab\keywordTab.dll

해당 프로그램은 Internet Explorer 웹 브라우저에 keywordTab.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통해 광고를 생성하는 동작을 하므로, 광고 동작의 중지를 위해서는 추가 기능 관리에 등록된 "keywordtab" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

 

또한 프로세스 정보를 살펴보면 시스템 시작시 KeywordTabopen.exe 프로세스가 메모리에 상주하며, Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 keywordTab.dll 파일을 추가하여 동작하는 것을 확인할 수 있습니다.

 

프로그램 삭제시에는 Windows 작업 관리자에서 KeywordTabopen.exe 프로세스를 수동으로 종료하시기 바라며, Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [KeywordTabUninstall] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Application Data\OpenTab-install.exe
  • C:\Program Files\KeywordTab
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - keywordtab = "c:\program files\\keywordtab\keywordtabup.exe"
 - keywordtabhper = C:\Program Files\\KeywordTab\keywordtabhper.exe
 - keywordtabopen = C:\Program Files\\KeywordTab\keywordtabopen.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98D68C3C-CF16-4CA8-BBDB-11E0EDB62E36}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98D68C3C-CF16-4CA8-BBDB-11E0EDB62E36}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KeywordTab
HKEY_LOCAL_MACHINE\SOFTWARE\keywordtab

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 사용자가 프로그램 설치 여부를 확인하기 어려우며, 악성 프로그램을 통해 사용자 몰래 설치된다는 점에서 주의하시기 바랍니다.

개인적으로 해당 프로그램은 국내에서 보안 업체로 알려진 업체에서 제공하는 파일인데 이런식으로 배포가 이루어진다는 것은 본분을 망각한 행위라고 판단됩니다.

728x90
반응형