울지않는벌새 : Security, Movie & Society

검색 도우미 : 다이렉트키워드(DirectKeyword) - DirectKeyword2

벌새::Analysis
국내에서 제작되어 인터넷 검색시 광고창을 생성하는 검색 도우미 다이렉트키워드(DirectKeyword) - DirectKeyword2 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 56f8cd69ce6e8b744f08de6e8337f558)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Trojan.Win32.BHO.224808 (VirusTotal : 6/43) 진단명으로 진단되고 있습니다.

기존의 다이렉트키워드(DirectKeyword) 프로그램의 변형된 형태로 추정되므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2
C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2\DirectKeyword2.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스

해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2] 폴더에 파일을 생성하며, Windows 시작시 DirectKeyword2.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

참고로 DirectKeyword2.exe 파일은 실행시 특정 서버에 연결되어 업데이트 체크 및 메모리 상주를 합니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색시 추가적인 광고창을 생성하는 것을 확인할 수 있습니다.

광고창 생성시 접속 로그를 살펴보면 파트너 아이디가 추가되어 접속 트래픽 조건 또는 판매 조건을 만족시킬 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

해당 프로그램은 DirectKeyword2.exe 파일이 메모리에 상주하여 동작하므로 프로그램 삭제시에는 작업 관리자에서 해당 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 [DirectKeyword2] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\GOMSEK.COM
HKEY_CURRENT_USER\Software\GOMSEK.COM\DirectKeyword2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - DirectKeyword2 = "C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2\DirectKeyword2.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
DirectKeyword2


해당 프로그램은 사용자가 확인하기 어려운 위치에 파일을 생성하며 프로그램 목록에 제시되지 않는 점으로 인하여 설치 여부를 확인하기 어렵습니다.

또한 인터넷 사용시 원치 않는 광고창 생성으로 불편을 야기할 수 있으므로 주의하시기 바랍니다.