웹 사이트 접속 및 검색 키워드 값을 특정 광고 서버로 전송하는 검색 도우미 "Wordkey Reader" 프로그램<SHA-1 : 1e2fd952f02241b840214ff0fbfb264986e605d8 - AhnLab V3 : PUP/Win32.Helper.R116576 (VT : 7/53)>에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 유사한 기능을 가진 searchup 광고 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\wkp.exe
C:\Users\(사용자 계정)\AppData\Roaming\wordkey
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\su
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wk_.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wk.dat
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkd.dat
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkfiles.dat
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkmon.exe :: 시작 프로그램(wkmon) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkp.exe :: 시작 프로그램(wordkey) 등록 파일, 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkq.dat

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wk_.exe
 - SHA-1 : 474dd279a41b454bbfff40e66ebac485878584bd
 - avast! : Win32:Malware-gen (VT : 5/53)

 

C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkmon.exe
 - SHA-1 : 27753c4706f70de924fb2155a8d0077bdd4ec82d
 - ESET : probably a variant of Win32/Adware.Winggo.AD (VT : 3/51)

 

C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkp.exe
 - SHA-1 : 762e436f2efaa967f62f3910dc81f4355a6312bf
 - ESET : a variant of Win32/Adware.WiseMop.A (VT : 7/54)

ADnet 디지털 서명이 포함된 "Wordkey Reader" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\wordkey" 폴더에 파일을 생성합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wordkey = "C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkp.exe" UPDATE

Windows 시작시 wordkey 시작 프로그램(Run) 등록값 등록을 통해 ["C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkp.exe" UPDATE] 파일을 자동 실행하여 특정 서버로부터 업데이트 정보를 체크하여 관련 파일을 다운로드할 수 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - wkmon = "C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkmon.exe" AXX

또한 wkmon 시작 프로그램(RunOnce) 등록값을 통해 광고 기능을 수행하는 ["C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkmon.exe" AXX] 파일을 자동 실행하도록 등록되어 있습니다.

이를 통해 wkmon.exe, wk_.exe 2개의 프로세스는 부모와 자식 프로세스로 묶여서 함께 메모리에 상주하게 되며, 각각의 프로세스는 프로세스 보호 기능을 통해 사용자의 의한 프로세스 종료를 방해합니다.

특히 메모리에 상주하는 "C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wk_.exe" 프로세스는 지속적으로 시작 프로그램 등록 레지스트리값(wordkey, wkmon)을 재생성하여 사용자에 의한 체크 해제 및 삭제를 방해합니다.

프로그램이 설치된 환경에서는 사용자가 웹 사이트 접속 및 인터넷 검색시 접속 URL 주소, 검색 키워드, 수행 시간 등의 정보를 "api.wordkey.co.kr" 광고 서버로 전송하며, 매칭되는 결과가 존재할 경우 다양한 광고창 생성 동작이 이루어질 수 있을 것으로 추정됩니다.

"Wordkey Reader" 광고 프로그램의 기능 중지 및 삭제를 위해서는 Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 wkmon.exe 프로세스를 선택하여 "프로세스 트리 끝내기" 메뉴를 실행할 경우 wk_.exe 프로세스와 함께 일괄 종료를 할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "Wordkey Reader" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Local\Temp\wkp.exe" 파일을 찾아 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft
 - SUp = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows
 - SUp = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
 - WinVer = (사용자 운영 체제 종류)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wordkey = "C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkp.exe" UPDATE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - wkmon = "C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkmon.exe" AXX
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
Wordkey Reader
HKEY_CURRENT_USER\Software\wordkey

 

"Wordkey Reader" 프로그램의 이름으로는 광고 기능을 수행하는 것으로 확인하기 매우 어려우며, 프로그램의 기능을 사용자가 중지하지 못하게 다양한 보호 기능으로 불편을 유발하고 있으므로 설치되지 않도록 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..