본문 바로가기

벌새::Analysis

검색 도우미 : 오픈키워드(OpenKeyword)

인터넷 검색시 다양한 광고창을 생성하는 검색 도우미 오픈키워드(OpenKeyword) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 OpenShopper와 유사성이 강하므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe
※ 해당 파일은 (6자리 숫자).exe 파일 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\296421.exe
※ 해당 파일은 (6자리 숫자).exe 파일 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\license1.txt
C:\Program Files\openkeyword
C:\Program Files\openkeyword\OpenKeywordC.exe :: 시작 프로그램 등록 파일
C:\Program Files\openkeyword\OpenKeywordD.exe :: 메모리 상주 프로세스
C:\Program Files\openkeyword\OpenKeywordS.exe :: 메모리 상주 프로세스
C:\Program Files\openkeyword\SQLiteEncrypt.dll
C:\Program Files\openkeyword\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\openkeyword\Update.dat

[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe
 - MD5 : 5d47b4790e0dc20d953a8ce90fe2ad25
 - Hauri ViRobot : Adware.OpenKeyword.391064 (VirusTotal : 6/40)

해당 프로그램은 Windows 시작시 OpenKeywordC.exe 파일을 시작 프로그램으로 등록하여 자동으로 실행되며, 실행 후 다음과 같은 업데이트 동작을 하도록 구성되어 있습니다.

  • h**p://sub.openkey****.co.kr/op***/postmedia1/OKUpdate.exe (MD5 : 5d47b4790e0dc20d953a8ce90fe2ad25)
  • h**p://sub.openkey****.co.kr/op***/postmedia1/OKSetup.exe

다운로드된 OKUpdate.exe 파일은 자가 복제된 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe] 파일을 생성하며, OKSetup.exe 파일은 자가 복제된 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\296421.exe] 파일을 생성하여 OpenKeyword 프로그램을 설치합니다.

이를 통하여 프로그램이 설치된 환경에서는 인터넷 검색시마다 다양한 광고창을 생성하며, 이런 동작으로 인해 웹 브라우저 속도 저하 등의 문제가 발생하고 있습니다.

해당 광고 동작을 중지하기 위해서는 Windows 작업 관리자에서 메모리에 상주하는 OpenKeywordD.exe, OpenKeywordS.exe 2개의 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 [오픈키워드(OpenKeyword)] 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(6자리 숫자).exe] 파일을 모두 삭제하시기 바랍니다.

참고로 (6자리 숫자).exe 파일의 아이콘은 그림과 같으므로 삭제시 참고하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - openkeyword = C:\Program Files\openkeyword\OpenKeywordC.exe /RUN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\오픈키워드(OpenKeyword)
HKEY_CURRENT_USER\Software\OpenKeyword

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용시 빈번한 광고창 생성으로 인터넷 속도 저하 현상이 발생할 수 있으므로 주의하시기 바랍니다.


  • 설치할땐 한번.. 지울때는 여러번 신경써야 하죠..ㅠ.ㅠ
    그리고 가장 힘든 건.. 사용하는 사람은 언제깔렸는지 신경도 안쓰고 이거 안되라고 이야기하는.ㅠ.ㅠ

  • 완두콩 2013.08.27 23:11 댓글주소 수정/삭제 댓글쓰기

    6자리 숫자인 파일이나 폴더가 없네요 ㅠㅠ 저런그림도 없구요
    에구 구기님말공감이에요 이거안되라고 얘기하면 허밍버드님 블로그
    도움받아서 하나하나 찾아서 삭제해줘야 한다는
    항상 허밍버드님 포스팅 고맙습니다

    • 최근에 유포되는 OpenKeyword 프로그램을 보니 약간 변형이 되었지만, 제어판이나 프로그램 폴더명은 동일한 것 같습니다.

      특히 6자리 숫자 관련된 파일은 최근에는 생성되지 않는 것 같습니다.