본문 바로가기

벌새::Analysis

검색 도우미 : KeywordMap

반응형

인터넷 검색 및 웹 사이트 접속시 다수의 광고창(탭) 생성 및 광고 팝업창을 생성하는 국내에서 제작된 KeywordMap 광고 프로그램<SHA-1 : 25a4c41a055a0ac5a37e42387ad3342627ec7605 - ESET : a variant of Win32/Adware.PopAd.AH (VT : 13/56)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\KeywordMap
C:\Users\(사용자 계정)\AppData\Roaming\KeywordMap\KeywordMap.exe :: 시작 프로그램(KeywordMap) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\KeywordMap\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\KeywordMap\unins000.dt
C:\Users\(사용자 계정)\AppData\Roaming\KeywordMap\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\Microsort
C:\Users\(사용자 계정)\AppData\Roaming\Microsort\pgConfig2.dt

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\KeywordMap\KeywordMap.exe
 - SHA-1 : 1f5c3d4bc548a90ded01f514beaf695ddc9103ac
 - avast! : Win32:Adware-gen [Adw] (VT : 9/56)

"jncmarketing Co., Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\KeywordMap" 폴더에 파일을 생성합니다.

 

Windows 시작시 KeywordMap 시작 프로그램 등록값을 이용하여 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\KeywordMap\KeywordMap.exe" 파일을 자동 실행하여 메모리에 상주시킵니다.

광고 프로그램이 설치된 환경에서 웹 브라우저 실행, 인터넷 검색, 웹 사이트 접속시 ClickPop 계열 광고창 생성을 통해 헝그리앱 광고창을 다수 생성할 수 있으며, ClickSearch, LiveSearch, Hybrid View 검색 사이트로 자동 연결될 수 있습니다.

또한 인터넷 검색 및 웹 사이트 접속 과정에서 시스템 트레이 알림 아이콘 상단에 "AD 안내" 광고 팝업창을 함께 생성할 수 있습니다.

 

참고로 사용자가 입력한 검색 키워드 값은 "C:\Users\(사용자 계정)\AppData\Roaming\Microsort\pgConfig2.dt" 파일이 저장되어 광고에 활용됩니다.

 

KeywordMap 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 KeywordMap.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 KeywordMap 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

(c) 프로그램 삭제 후 다음의 폴더를 찾아 직접 삭제하시기 바랍니다.

 

  • C:\Users\(사용자 계정)\AppData\Roaming\KeywordMap
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsort

(d) 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - KeywordMap = "c:\users\(사용자 계정)\appdata\roaming\keywordmap\keywordmap.exe"
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\KeywordMap
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - KeywordMap = "c:\users\(사용자 계정)\appdata\roaming\keywordmap\keywordmap.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{999AACCD-1E3D-448D-A179-306BF00D6CD3}_is1

 

KeywordMap 광고 프로그램은 기존의 SubShop, DreamPrime, LuckyTool 악성 광고 프로그램과 마찬가지로 개인적으로 확인한 국내 광고 프로그램 중에서도 최고 수준의 공격적인 광고 행위로 인하여 정상적인 인터넷 사용을 심각하게 방해할 수 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.

 

 

 

 

728x90
반응형