728x90
반응형
인터넷 검색시 다양한 광고창을 생성하는 검색 도우미 오픈키워드(OpenKeyword) 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존의 OpenShopper와 유사성이 강하므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe
※ 해당 파일은 (6자리 숫자).exe 파일 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\296421.exe
※ 해당 파일은 (6자리 숫자).exe 파일 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\license1.txt
C:\Program Files\openkeyword
C:\Program Files\openkeyword\OpenKeywordC.exe :: 시작 프로그램 등록 파일
C:\Program Files\openkeyword\OpenKeywordD.exe :: 메모리 상주 프로세스
C:\Program Files\openkeyword\OpenKeywordS.exe :: 메모리 상주 프로세스
C:\Program Files\openkeyword\SQLiteEncrypt.dll
C:\Program Files\openkeyword\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\openkeyword\Update.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe
※ 해당 파일은 (6자리 숫자).exe 파일 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\296421.exe
※ 해당 파일은 (6자리 숫자).exe 파일 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\license1.txt
C:\Program Files\openkeyword
C:\Program Files\openkeyword\OpenKeywordC.exe :: 시작 프로그램 등록 파일
C:\Program Files\openkeyword\OpenKeywordD.exe :: 메모리 상주 프로세스
C:\Program Files\openkeyword\OpenKeywordS.exe :: 메모리 상주 프로세스
C:\Program Files\openkeyword\SQLiteEncrypt.dll
C:\Program Files\openkeyword\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\openkeyword\Update.dat
[생성 파일 진단 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe
- MD5 : 5d47b4790e0dc20d953a8ce90fe2ad25
- Hauri ViRobot : Adware.OpenKeyword.391064 (VirusTotal : 6/40)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe
- MD5 : 5d47b4790e0dc20d953a8ce90fe2ad25
- Hauri ViRobot : Adware.OpenKeyword.391064 (VirusTotal : 6/40)
해당 프로그램은 Windows 시작시 OpenKeywordC.exe 파일을 시작 프로그램으로 등록하여 자동으로 실행되며, 실행 후 다음과 같은 업데이트 동작을 하도록 구성되어 있습니다.
- h**p://sub.openkey****.co.kr/op***/postmedia1/OKUpdate.exe (MD5 : 5d47b4790e0dc20d953a8ce90fe2ad25)
- h**p://sub.openkey****.co.kr/op***/postmedia1/OKSetup.exe
다운로드된 OKUpdate.exe 파일은 자가 복제된 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe] 파일을 생성하며, OKSetup.exe 파일은 자가 복제된 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\296421.exe] 파일을 생성하여 OpenKeyword 프로그램을 설치합니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- openkeyword = C:\Program Files\openkeyword\OpenKeywordC.exe /RUN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\오픈키워드(OpenKeyword)
HKEY_CURRENT_USER\Software\OpenKeyword
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- openkeyword = C:\Program Files\openkeyword\OpenKeywordC.exe /RUN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\오픈키워드(OpenKeyword)
HKEY_CURRENT_USER\Software\OpenKeyword
해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용시 빈번한 광고창 생성으로 인터넷 속도 저하 현상이 발생할 수 있으므로 주의하시기 바랍니다.
728x90
반응형