본문 바로가기

벌새::Analysis

검색 도우미 : KeyPang version 1.0 + kpupdate version 1.0

반응형
국내에서 제작되어 클릭n바이 팝업창 생성 및 인터넷 검색시 광고창이 생성되는 검색 도우미 KeyPang version 1.0 + kpupdate version 1.0 프로그램에 대해 살펴보도록 하겠습니다.
 

해당 프로그램은 기존의 version 1.0.0 시리즈와 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\KeyPang
C:\Program Files\KeyPang\keypang.exe :: 메모리 상주 프로세스
C:\Program Files\KeyPang\rkp.exe
C:\Program Files\KeyPang\unins000.dat
C:\Program Files\KeyPang\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\kpupdate
C:\Program Files\kpupdate\kpupdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\kpupdate\kpupdate.exe.MANIFEST
C:\Program Files\kpupdate\temp
C:\Program Files\kpupdate\ukp.exe
C:\Program Files\kpupdate\unins000.dat
C:\Program Files\kpupdate\unins000.exe :: 프로그램 삭제 파일
C:\WINDOWS\kps.log
C:\WINDOWS\kpu.log
C:\WINDOWS\system32\xProgressBar.ocx

 

해당 프로그램은 [C:\Program Files\KeyPang] 폴더에 KeyPang version 1.0 프로그램을 설치하며, [C:\Program Files\kpupdate] 폴더에 kpupdate version 1.0 프로그램을 설치하도록 구성되어 있습니다.

Windows 시작시 kpupdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 KeyPang 관련 업데이트, 카운터 및 클릭n바이 광고 정보를 체크하도록 구성되어 있습니다.

GET /keypang/version_kp.php HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: 114.200.199.251
Connection: Keep-Alive

GET /keypang/liveins.php?mac=(사용자 Mac Address)&ip=(사용자 IP)&pid=kp HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: 114.200.199.251
Connection: Keep-Alive

GET /keypang/toschk.php?pid=kp HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: 114.200.199.251
Connection: Keep-Alive

 

해당 프로그램이 설치된 후 5분이 경과하면 시스템 트레이 상단에 클릭n바이 팝업창이 생성되는 동작을 확인할 수 있으며, 해당 광고를 클릭할 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 보입니다.(※ 해당 광고는 CPC 방식의 광고입니다.)

 

또한 사용자가 인터넷 검색시 G마켓과 같은 인터넷 쇼핑몰 사이트가 생성되는 동작을 확인할 수 있습니다.

 

해당 광고창 접속 로그를 확인해보면 특정 광고 코드가 포함되어 있어, 사용자가 특정 조건을 만족시킬 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

 

해당 광고 동작을 중지하기 위해서는 작업 관리자에서 keypang.exe 프로세스를 수동으로 종료하시기 바랍니다.

 

프로그램 삭제는 제어판의 [KeyPang version 1.0], [kpupdate version 1.0] 2개의 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\Program Files\kpupdate
  • C:\Program Files\kpupdate\temp
  • C:\WINDOWS\kps.log
  • C:\WINDOWS\kpu.log
  • C:\WINDOWS\system32\xProgressBar.ocx
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38DC091D-82DC-4446-BB03-8BDE607FFDFA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5DF8F65F-F9CE-4CDC-84C7-8FE174DF4B31}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{ADA9611E-59CE-465B-B770-EEDA66E8AA4A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{550FB108-EEF8-4C9D-9AF3-2487DB9330A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xProgressBar.xProgress
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Kp = C:\Program Files\kpupdate\kpupdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
 - C:\WINDOWS\system32\xProgressBar.ocx = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{31F483AD-CF01-4B40-909C-99B714C3B38B}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B9EB0882-79F8-4680-988C-D2317BA669F9}_is1

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 2개의 프로그램으로 분리되어 설치가 이루어지므로 삭제시 어려움을 겪을 수 있으므로 주의하시기 바랍니다.

728x90
반응형
  • 고생많으세요ㅎ

  • 대단하군요...
    CPC광고까지 프로그램에 넣어놓고 ㅎㅎ
    돈벌려고그냥 ㅋㅋ

  • 하늘소년 2011.07.23 23:55 댓글주소 수정/삭제 댓글쓰기

    정보 감사합니다.
    프로그램 추가/삭제 보니깐 생전 못 보던게 생겨서
    검색해 봤더니 이런 것이였군요 ㅡㅡ;;
    글 읽고 전부 잘 삭제 했습니다 ^^

    고맙습니다~ 꾸벅 (--)(__)

  • 로렌 2011.08.17 23:58 댓글주소 수정/삭제 댓글쓰기

    오늘 컴퓨터 수리하고 왔는데 갑자기 팝업창이 떠서 이것때문에 오늘 하루종일 머리 싸매고 있었는데 드뎌 삭제 했네요...이름이 달라서 먼지도 몰라서 한참 헤맸다는 ㅜㅜ
    좋은 정보 감사 합니당

  • glqn 2012.01.10 13:11 댓글주소 수정/삭제 댓글쓰기

    감사합니다~!

  • B.B 2012.01.21 19:38 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다 ㅠ.ㅠ

  • 날개 2012.01.23 00:41 댓글주소 수정/삭제 댓글쓰기

    이 프로그램 제거에 실패한 사람입니다 ㅠ
    오빠라는 인간이 따운 받다가 이딴것도 끌어들였는데
    삭제하려고 하니 패스워드를 입력하라는 군요...
    하... 정말 작정을 하고 돈벌려는 인간인가 보네요
    파일을 통채로 휴지통에 처박아 놓고, 부가적으로 지우시라고 말씀하신 windowe파일안에 있는 3가지는 찾지도 못했네요...
    포멧 않하려다 결정적으로 포멧하게 되는 계기를 만들어 주었네요..

  • 야물이 2013.03.12 11:19 댓글주소 수정/삭제 댓글쓰기

    유용한 정보 감사합니다. 덕분에 쥐!같은 녀석으로부터 해방되었습니다. 복받으셈.

  • 눈의 야화 2013.05.04 21:10 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다~~
    할 때 마다 계속 판업창이 떠서 짜증났는데,,
    이렇게 하니 말씀하군요!!
    다시 한번 감사합니다.

  • 세고옥 2013.05.13 12:14 댓글주소 수정/삭제 댓글쓰기

    해당 광고창 접속 로그 확인을 어떻케 하는것이며,
    어떤조치를 어떻케 해야하나요?
    생성 레지스트리 등록 정보를 확인하면,
    최종 레지스트리 페이지에서
    어디에 어떤 조치를 취해야하나요?

    • 기본적으로 이 프로그램은 제어판을 통해 프로그램 삭제를 할 수 있으며, 제어판에서 삭제한 이후 추가적으로 삭제할 필요가 있는 파일 정보를 참고하여 파일 삭제를 하시면 됩니다.

      더 깨끗한 삭제를 위해 프로그램으로 인해 생성된 레지스트리 값을 기록했습니다.

      레지스트리에 대한 지식이 없다면 그 부분은 그냥 무시하시기 바랍니다.

      괜히 삭제하시다가 시스템에 문제를 유발할 수 있습니다.