인터넷 검색 및 웹사이트 접속 시 다양한 광고창을 생성할 수 있는 국내에서 제작된 "Network Application Express" 광고 프로그램 변종인 Kakaru 광고 프로그램(SHA-1 : e3199101724188128425d4cd07e642c5853eb21e)에 대해 살펴보도록 하겠습니다.

 

 

"Network Application Express" 광고 프로그램은 기존의 LuckyTool 악성 광고 프로그램과 마찬가지로 변종에 따라 다양한 폴더(파일)와 프로그램 이름으로 설치될 수 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\Kakaru
C:\Users\%UserName%\AppData\Roaming\Kakaru\data.db
C:\Users\%UserName%\AppData\Roaming\Kakaru\Kakaru.exe :: 시작 프로그램(kakaru_client) 등록 파일, 작업 스케줄러(kakaru_client) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\Kakaru\KakaruAgent.exe :: 시작 프로그램(kakaru_agent) 등록 파일, 작업 스케줄러(kakaru_agent) 등록 파일
C:\Users\%UserName%\AppData\Roaming\Kakaru\smartpush.dll
C:\Users\%UserName%\AppData\Roaming\Kakaru\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\kakaru_agent
C:\Windows\System32\Tasks\kakaru_client

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\Kakaru\smartpush.dll
 - SHA-1 : 3923c4cc1e332372f03b0772e142c22112d6bf5c
 - ESET : a variant of Win32/Adware.SafeTerra.A

 

 

JWSOFT 디지털 서명이 포함된 "Network Application Express" 광고 프로그램 변종은 "C:\Users\%UserName%\AppData\Roaming\Kakaru" 폴더에 파일을 생성합니다.

 

  • kakaru_agent 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Kakaru\KakaruAgent.exe
  • kakaru_client 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Kakaru\Kakaru.exe

 

Windows 시작 시 kakaru_agent, kakaru_client 2개의 시작 프로그램 등록값을 통해 KakaruAgent.exe, Kakaru.exe 파일을 자동 실행하도록 구성되어 있습니다.

 

  • kakaru_agent 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Kakaru\KakaruAgent.exe" "/run"
  • kakaru_client 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Kakaru\Kakaru.exe" "/run"

 

또한 예약 작업 영역에 kakaru_agent, kakaru_client 2개의 작업 스케줄러 등록값을 통해 KakaruAgent.exe, Kakaru.exe 파일을 자동 실행하도록 구성되어 있습니다.

 

 

자동 실행된 "C:\Users\%UserName%\AppData\Roaming\Kakaru\KakaruAgent.exe" 파일(SHA-1 : 6a60bce65dbf683e459148550f7d23eae50548db)은 업데이트 정보를 체크하여 특정 시점에서는 "Network Application Express Agent" 기능을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

광고 기능을 수행하는 "C:\Users\%UserName%\AppData\Roaming\Kakaru\Kakaru.exe" 파일(SHA-1 : 52dd29600af68eb36f36f0c3e159132c56783416)은 자동 실행되어 메모리에 상주하며, "Wetelecomunication Co.,Ltd" 디지털 서명이 포함된 "C:\Users\%UserName%\AppData\Roaming\Kakaru\smartpush.dll" 광고 모듈을 로딩하여 다음과 같은 광고 행위를 수행할 수 있습니다.

 

 

사용자가 웹브라우저 주소 표시줄에 키워드 입력을 통한 기본 검색 공급자로 인터넷 검색을 시도할 경우 다양한 광고창을 생성할 수 있습니다.

 

 

또한 인터넷 검색을 통해 웹사이트 접속 과정에서 자동으로 검색 키워드와 무관한 다양한 광고창을 생성할 수 있습니다.

 

Kakaru 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 Kakaru.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 Kakaru 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 시 "Network Application Express 제거"창이 생성되어 진행됩니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\kakaru
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - kakaru_agent = C:\Users\%UserName%\AppData\Roaming\Kakaru\KakaruAgent.exe
 - kakaru_client = C:\Users\%UserName%\AppData\Roaming\Kakaru\Kakaru.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Kakaru
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0E058117-A3C2-4EBA-9042-673B9969C7C5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4F98107B-2E5F-4E8C-8D54-54E6559BEB2A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\kakaru_agent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\kakaru_client

 

 

"Network Application Express" 광고 프로그램은 변종에 따라 다양한 프로그램 이름으로 설치되어 사용자가 자신을 찾기 어렵게 배포되고 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..