"세이프키퍼(SafeKeeper)"라는 유해 사이트 차단 프로그램을 설치하면서 필수 기능으로 포함된 광고 기능을 통해 인터넷 이용시 자동으로 광고창을 생성하는 "Internet SKPDevice" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 배포용 파일(MD5 : 3f28e9f1a9383c5b808b4d3a9b245863)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.421328 (VT : 18/49) 진단명으로 진단되고 있습니다.
프로그램 설치가 진행되면 특정 서버로부터 세이프키퍼(SafeKeeper) 설치 파일<MD5 : 51c09b66688741e1232f09481becb175 - avast! : Win32:Adware-AZC [Adw] (VT : 22/47)>을 다운로드하여 "C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe" 파일로 생성한 후 설치가 진행됩니다.
C:\Program Files\Internet SKPDevice
C:\Program Files\Internet SKPDevice\category.dt
C:\Program Files\Internet SKPDevice\dsk.dat
C:\Program Files\Internet SKPDevice\nhopen.dll
C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe
C:\Program Files\Internet SKPDevice\skcert.exe
C:\Program Files\Internet SKPDevice\skchk.exe
C:\Program Files\Internet SKPDevice\skcomlib.dll
C:\Program Files\Internet SKPDevice\skctr.exe :: 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skgen.exe :: 서비스(Internet SKPDevice) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skpns.exe :: 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skpot.exe :: 예약 작업(skpot) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skrmv.exe :: 프로그램 삭제 파일
C:\Program Files\Internet SKPDevice\sktool.exe :: 세이프키퍼(SafeKeeper) 프로그램 설정 파일
C:\Program Files\Internet SKPDevice\sktslib.dll
C:\Program Files\Internet SKPDevice\stdata.dat
C:\Program Files\Internet SKPDevice\stdata2.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config\Setting.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config
C:\Windows\System32\Tasks\skpot
C:\Program Files\Internet SKPDevice\nhopen.dll
- MD5 : 57c54f3fd6b7134128e6ff7858f4aba1
- nProtect : Adware/W32.KrAdword.1412056 (VT : 7/49)
C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe
- MD5 : 51c09b66688741e1232f09481becb175
- avast! : Win32:Adware-AZC [Adw] (VT : 22/47)
C:\Program Files\Internet SKPDevice\skcert.exe
- MD5 : 04e005e1334095b9bade458236ac1d74
- AhnLab V3 : PUP/Win32.MagicCare (VT : 9/49)
C:\Program Files\Internet SKPDevice\skchk.exe
- MD5 : b71a008c26345a2df486120d68380596
- avast! : Win32:Adware-AZC [Adw] (VT : 6/49)
C:\Program Files\Internet SKPDevice\skctr.exe
- MD5 : bb14d15926e8c446bfa10a368fa99961
- avast! : Win32:Adware-AZC [Adw] (VT : 6/49)
C:\Program Files\Internet SKPDevice\skgen.exe
- MD5 : e85bbd5cd74abc40fd80f2b124edac64
- ESET : a variant of Win32/AdWare.Kraddare.IP (VT : 18/49)
C:\Program Files\Internet SKPDevice\skpns.exe
- MD5 : b276b6ab368fc8963dda775964ef884a
- nProtect : Adware/W32.Agent.208856 (VT : 26/49)
C:\Program Files\Internet SKPDevice\skpot.exe
- MD5 : 32e00fb714842dc5a6ebbe66a4091906
- AhnLab V3 : PUP/Win32.Adgod (VT : 20/49)
C:\Program Files\Internet SKPDevice\sktslib.dll
- MD5 : 31ea37d77adce51921378c5e8359af74
- AhnLab V3 : PUP/Win32.HubHelper (VT : 12/49)
해당 프로그램은 "C:\Program Files\Internet SKPDevice" 폴더에 파일을 생성하며, 기본적으로 유해 사이트(성인 사이트, 도박 사이트) 차단 기능이 활성화된 상태로 설치가 이루어집니다.
프로그램 목록의 "SafeKeeper Config → Setting" 메뉴를 실행하면 "C:\Program Files\Internet SKPDevice\sktool.exe" 파일을 실행하여, 세이프키퍼(SafeKeeper) 프로그램의 메인 화면이 생성되며 성인 사이트 및 도박 사이트 차단 기능이 동작하는 것을 확인할 수 있습니다.
하지만 세이프키퍼(SafeKeeper) 프로그램은 유해 사이트 차단 기능보다는 프로그램 설치로 인하여 다음과 같은 광고 기능이 필수적으로 포함되어 있습니다.
1. "SKeeperDevice Service" 서비스 등록을 통한 실행 및 광고 동작
해당 프로그램은 "SKeeperDevice Service" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Internet SKPDevice\skgen.exe" 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 "C:\Program Files\Internet SKPDevice\skcert.exe" 파일을 추가적으로 로딩합니다.
자동 실행된 skcert.exe 파일은 특정 서버로부터 다음과 같은 값을 체크하도록 되어 있습니다.
- C:\Windows\System32\skdskdn.dat :: 프로그램 버전 체크
- C:\Windows\System32\sksdt.html :: 이용약관 체크
이후 "C:\Program Files\Internet SKPDevice\skctr.exe" 파일을 로딩한 후 skcert.exe 프로세스는 종료 처리가 이루어지며, 로딩된 skctr.exe 파일은 ["C:\Program Files\Internet SKPDevice\skpns.exe" -i divinemedia dnas25] 파일을 자식 프로세스로 로딩하여 메모리에 상주합니다.
실행된 skpns.exe 프로세스는 주기적으로 Windows NAS 광고 업데이트 서버에 연결을 시도하는 동작을 수행합니다.
이렇게 실행된 프로그램은 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 전체 화면 크기의 광고창을 생성할 수 있습니다.
대표적으로 생성되는 광고창은 "cl.ncclick.co.kr" 제휴 코드가 포함된 형태로 연결이 이루어지고 있습니다.
2. skpot 예약 작업 등록을 통한 실행 및 광고 동작
해당 프로그램은 시스템 시작시 예약 작업에 skpot 작업 스케줄러를 등록하여 "C:\Program Files\Internet SKPDevice\skpot.exe" 파일을 자동 실행되도록 하여 메모리에 상주시킵니다.
이를 통해 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 광고창을 생성하는 동작을 확인할 수 있습니다.
해당 광고창 생성시 대표적으로 오픈매치(OpenMatch) 또는 오픈팟(OpenPot) 광고 서버를 경유하여 연결이 이루어지고 있습니다.
3. 프로그램 삭제 방법
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "SKeeperDevice Service"] 명령어를 입력 및 실행하여 서비스 프로세스(skgen.exe)를 자동으로 종료할 수 있습니다.
(b) Windows 작업 관리자를 실행하여 skctr.exe, skpns.exe, skpot.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) 제어판에 등록된 "Internet SKPDevice" 삭제 항목을 실행하여 프로그램을 삭제할 수 있습니다.
삭제시 생성되는 "Program Uninstaller" 창의 "Password Confirm" 공란에는 좌측의 "Password"에 표시된 "숫자+영문"을 참고하여 입력한 후, "Agree to delete the program" 항목에 체크를 하시고 "Delete" 버튼을 클릭하시기 바랍니다.
(d) 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\Internet SKPDevice
- C:\Program Files\Internet SKPDevice\skrmv.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SKeeperDevice Service
HKEY_CURRENT_USER\Software\safekeeper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SafeKeeper_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NAP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF811EBE-C3FE-4989-9185-1A13B4BF8828}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\skpot
HKEY_LOCAL_MACHINE\SOFTWARE\SafeKeeperSys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SKeeperDevice Service
"DivineMedia Inc." 디지털 서명이 포함된 세이프키퍼(SafeKeeper) 유해 사이트 차단 프로그램을 비롯하여 다양한 유사 프로그램이 광고 기능을 필수적으로 포함하여 인터넷 검색시 불편을 유발하고 있으므로 프로그램이 설치되지 않도록 주의하시기 바랍니다.
☞ 제휴(스폰서) 프로그램 : 안전지대(Safe Terra) (2011.6.17)
☞ 제휴(스폰서) 프로그램 : 그린오픈(GreenOpen) 2.0 (2012.2.27)
☞ "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)
☞ "Internet Explorer ISafesvc" 유해 사이트 차단 프로그램을 이용한 광고 주의 (2013.6.8)
☞ iSafePlus ver 2.0 설치시 추가되는 FGSVC32.exe 악성 파일 주의 (2013.6.30)
☞ 악성 파일로 설치되는 System Int Professional 프로그램 유포 주의 (2013.7.31)
☞ 아이키퍼(IKeeper) 유해 사이트 차단 프로그램에 포함된 광고 주의 (2013.8.19)
☞ 매직케어(MagicCare) 유해 사이트 차단 프로그램을 이용한 "MGCS System" 광고 주의 (2013.10.27)
☞ 매직케어(MagicCare) 설치로 인한 "MG Internet Platform(License Version 2.0)" 광고 주의 (2013.10.29)