인터넷 검색 및 웹사이트 접속 시 다양한 광고창을 생성할 수 있는 국내에서 제작된 "Network Application Express" 광고 프로그램 변종인 Kakaru 광고 프로그램(SHA-1 : e3199101724188128425d4cd07e642c5853eb21e)에 대해 살펴보도록 하겠습니다.

 

 

"Network Application Express" 광고 프로그램은 기존의 LuckyTool 악성 광고 프로그램과 마찬가지로 변종에 따라 다양한 폴더(파일)와 프로그램 이름으로 설치될 수 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\Kakaru
C:\Users\%UserName%\AppData\Roaming\Kakaru\data.db
C:\Users\%UserName%\AppData\Roaming\Kakaru\Kakaru.exe :: 시작 프로그램(kakaru_client) 등록 파일, 작업 스케줄러(kakaru_client) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\Kakaru\KakaruAgent.exe :: 시작 프로그램(kakaru_agent) 등록 파일, 작업 스케줄러(kakaru_agent) 등록 파일
C:\Users\%UserName%\AppData\Roaming\Kakaru\smartpush.dll
C:\Users\%UserName%\AppData\Roaming\Kakaru\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\kakaru_agent
C:\Windows\System32\Tasks\kakaru_client

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\Kakaru\smartpush.dll
 - SHA-1 : 3923c4cc1e332372f03b0772e142c22112d6bf5c
 - ESET : a variant of Win32/Adware.SafeTerra.A

 

 

JWSOFT 디지털 서명이 포함된 "Network Application Express" 광고 프로그램 변종은 "C:\Users\%UserName%\AppData\Roaming\Kakaru" 폴더에 파일을 생성합니다.

 

  • kakaru_agent 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Kakaru\KakaruAgent.exe
  • kakaru_client 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\Kakaru\Kakaru.exe

 

Windows 시작 시 kakaru_agent, kakaru_client 2개의 시작 프로그램 등록값을 통해 KakaruAgent.exe, Kakaru.exe 파일을 자동 실행하도록 구성되어 있습니다.

 

  • kakaru_agent 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Kakaru\KakaruAgent.exe" "/run"
  • kakaru_client 작업 스케줄러 등록값 : "C:\Users\%UserName%\AppData\Roaming\Kakaru\Kakaru.exe" "/run"

 

또한 예약 작업 영역에 kakaru_agent, kakaru_client 2개의 작업 스케줄러 등록값을 통해 KakaruAgent.exe, Kakaru.exe 파일을 자동 실행하도록 구성되어 있습니다.

 

 

자동 실행된 "C:\Users\%UserName%\AppData\Roaming\Kakaru\KakaruAgent.exe" 파일(SHA-1 : 6a60bce65dbf683e459148550f7d23eae50548db)은 업데이트 정보를 체크하여 특정 시점에서는 "Network Application Express Agent" 기능을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

광고 기능을 수행하는 "C:\Users\%UserName%\AppData\Roaming\Kakaru\Kakaru.exe" 파일(SHA-1 : 52dd29600af68eb36f36f0c3e159132c56783416)은 자동 실행되어 메모리에 상주하며, "Wetelecomunication Co.,Ltd" 디지털 서명이 포함된 "C:\Users\%UserName%\AppData\Roaming\Kakaru\smartpush.dll" 광고 모듈을 로딩하여 다음과 같은 광고 행위를 수행할 수 있습니다.

 

 

사용자가 웹브라우저 주소 표시줄에 키워드 입력을 통한 기본 검색 공급자로 인터넷 검색을 시도할 경우 다양한 광고창을 생성할 수 있습니다.

 

 

또한 인터넷 검색을 통해 웹사이트 접속 과정에서 자동으로 검색 키워드와 무관한 다양한 광고창을 생성할 수 있습니다.

 

Kakaru 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 Kakaru.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 Kakaru 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 시 "Network Application Express 제거"창이 생성되어 진행됩니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\kakaru
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - kakaru_agent = C:\Users\%UserName%\AppData\Roaming\Kakaru\KakaruAgent.exe
 - kakaru_client = C:\Users\%UserName%\AppData\Roaming\Kakaru\Kakaru.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Kakaru
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0E058117-A3C2-4EBA-9042-673B9969C7C5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4F98107B-2E5F-4E8C-8D54-54E6559BEB2A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\kakaru_agent
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\kakaru_client

 

 

"Network Application Express" 광고 프로그램은 변종에 따라 다양한 프로그램 이름으로 설치되어 사용자가 자신을 찾기 어렵게 배포되고 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.

블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..