반응형
국내에서 제작되어 인터넷 검색시 광고창을 생성하는 검색 도우미 다이렉트키워드(DirectKeyword) - DirectKeyword2 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 56f8cd69ce6e8b744f08de6e8337f558)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Trojan.Win32.BHO.224808 (VirusTotal : 6/43) 진단명으로 진단되고 있습니다.
해당 프로그램의 설치 파일(MD5 : 56f8cd69ce6e8b744f08de6e8337f558)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Trojan.Win32.BHO.224808 (VirusTotal : 6/43) 진단명으로 진단되고 있습니다.
기존의 다이렉트키워드(DirectKeyword) 프로그램의 변형된 형태로 추정되므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2
C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2\DirectKeyword2.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2
C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2\DirectKeyword2.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2] 폴더에 파일을 생성하며, Windows 시작시 DirectKeyword2.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
참고로 DirectKeyword2.exe 파일은 실행시 특정 서버에 연결되어 업데이트 체크 및 메모리 상주를 합니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\GOMSEK.COM
HKEY_CURRENT_USER\Software\GOMSEK.COM\DirectKeyword2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- DirectKeyword2 = "C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2\DirectKeyword2.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
DirectKeyword2
HKEY_CURRENT_USER\Software\GOMSEK.COM
HKEY_CURRENT_USER\Software\GOMSEK.COM\DirectKeyword2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- DirectKeyword2 = "C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2\DirectKeyword2.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
DirectKeyword2
해당 프로그램은 사용자가 확인하기 어려운 위치에 파일을 생성하며 프로그램 목록에 제시되지 않는 점으로 인하여 설치 여부를 확인하기 어렵습니다.
또한 인터넷 사용시 원치 않는 광고창 생성으로 불편을 야기할 수 있으므로 주의하시기 바랍니다.
728x90
반응형