국내에서 제작되어 클릭n바이 팝업창 생성 및 인터넷 검색시 광고창이 생성되는 검색 도우미 KeyPang version 1.0 + kpupdate version 1.0 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 version 1.0.0 시리즈와 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\KeyPang
C:\Program Files\KeyPang\keypang.exe :: 메모리 상주 프로세스
C:\Program Files\KeyPang\rkp.exe
C:\Program Files\KeyPang\unins000.dat
C:\Program Files\KeyPang\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\kpupdate
C:\Program Files\kpupdate\kpupdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\kpupdate\kpupdate.exe.MANIFEST
C:\Program Files\kpupdate\temp
C:\Program Files\kpupdate\ukp.exe
C:\Program Files\kpupdate\unins000.dat
C:\Program Files\kpupdate\unins000.exe :: 프로그램 삭제 파일
C:\WINDOWS\kps.log
C:\WINDOWS\kpu.log
C:\WINDOWS\system32\xProgressBar.ocx

 

해당 프로그램은 [C:\Program Files\KeyPang] 폴더에 KeyPang version 1.0 프로그램을 설치하며, [C:\Program Files\kpupdate] 폴더에 kpupdate version 1.0 프로그램을 설치하도록 구성되어 있습니다.

Windows 시작시 kpupdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 KeyPang 관련 업데이트, 카운터 및 클릭n바이 광고 정보를 체크하도록 구성되어 있습니다.

GET /keypang/version_kp.php HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: 114.200.199.251
Connection: Keep-Alive

GET /keypang/liveins.php?mac=(사용자 Mac Address)&ip=(사용자 IP)&pid=kp HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: 114.200.199.251
Connection: Keep-Alive

GET /keypang/toschk.php?pid=kp HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
Host: 114.200.199.251
Connection: Keep-Alive

해당 프로그램이 설치된 후 5분이 경과하면 시스템 트레이 상단에 클릭n바이 팝업창이 생성되는 동작을 확인할 수 있으며, 해당 광고를 클릭할 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 보입니다.(※ 해당 광고는 CPC 방식의 광고입니다.)

또한 사용자가 인터넷 검색시 G마켓과 같은 인터넷 쇼핑몰 사이트가 생성되는 동작을 확인할 수 있습니다.

해당 광고창 접속 로그를 확인해보면 특정 광고 코드가 포함되어 있어, 사용자가 특정 조건을 만족시킬 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

해당 광고 동작을 중지하기 위해서는 작업 관리자에서 keypang.exe 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 [KeyPang version 1.0], [kpupdate version 1.0] 2개의 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\kpupdate
  • C:\Program Files\kpupdate\temp
  • C:\WINDOWS\kps.log
  • C:\WINDOWS\kpu.log
  • C:\WINDOWS\system32\xProgressBar.ocx
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38DC091D-82DC-4446-BB03-8BDE607FFDFA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5DF8F65F-F9CE-4CDC-84C7-8FE174DF4B31}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{ADA9611E-59CE-465B-B770-EEDA66E8AA4A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{550FB108-EEF8-4C9D-9AF3-2487DB9330A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xProgressBar.xProgress
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Kp = C:\Program Files\kpupdate\kpupdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
 - C:\WINDOWS\system32\xProgressBar.ocx = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{31F483AD-CF01-4B40-909C-99B714C3B38B}_is1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{B9EB0882-79F8-4680-988C-D2317BA669F9}_is1

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 2개의 프로그램으로 분리되어 설치가 이루어지므로 삭제시 어려움을 겪을 수 있으므로 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..