[삭제] KinDiskHost

국내에서 제작된 것으로 추정되며 시스템 시작시 자동 실행되어 추가적인 다운로드를 유발할 것으로 보이는 KinDiskHost 프로그램에 대해 살펴보도록 하겠습니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\KinDisk
C:\Program Files\KinDisk\KinDiskHost.exe :: 시작 프로그램 등록 파일
C:\Program Files\KinDisk\Thumbs.db
C:\Program Files\KinDisk\uninst.exe :: 프로그램 삭제 파일

해당 프로그램은 [C:\Program Files\KinDisk] 폴더에 파일을 생성하며, Windows 시작시 KinDiskHost.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

GET /request/count.php?mode=update_install&key=pdshost HTTP/1.1
Host: 115.68.23.240
Cache-Control: no-cache

GET /updates/kindisk/update.php HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727;

.NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
Host: 115.68.23.240
Connection: Keep-Alive

KinDiskHost.exe 파일은 특정 IP 서버에 접속하여 카운터(Counter) 및 추가적인 업데이트 체크를 하도록 구성되어 있습니다.(※ 테스트 시점에서는 추가적인 다운로드는 존재하지 않습니다.)

프로그램 삭제는 제어판의 [KinDiskHost] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Kindisk
HKEY_CURRENT_USER\Software\Kindisk\Update
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - kdh = "C:\Program Files\KinDisk\KinDiskHost.exe" boot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KinDiskHost

해당 프로그램은 마치 웹하드 관련 프로그램처럼 위장하고 있으며, 시스템 시작시마다 업데이트 체크를 통해 차후 사용자 몰래 추가적인 프로그램을 설치할 수 있는 가능성이 있으므로 주의하시기 바랍니다.