본문 바로가기

벌새::Analysis

검색 도우미 : 오픈키워드(OpenKeyword)

반응형
인터넷 검색시 다양한 광고창을 생성하는 검색 도우미 오픈키워드(OpenKeyword) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 OpenShopper와 유사성이 강하므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe
※ 해당 파일은 (6자리 숫자).exe 파일 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\296421.exe
※ 해당 파일은 (6자리 숫자).exe 파일 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\license1.txt
C:\Program Files\openkeyword
C:\Program Files\openkeyword\OpenKeywordC.exe :: 시작 프로그램 등록 파일
C:\Program Files\openkeyword\OpenKeywordD.exe :: 메모리 상주 프로세스
C:\Program Files\openkeyword\OpenKeywordS.exe :: 메모리 상주 프로세스
C:\Program Files\openkeyword\SQLiteEncrypt.dll
C:\Program Files\openkeyword\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\openkeyword\Update.dat

[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe
 - MD5 : 5d47b4790e0dc20d953a8ce90fe2ad25
 - Hauri ViRobot : Adware.OpenKeyword.391064 (VirusTotal : 6/40)

해당 프로그램은 Windows 시작시 OpenKeywordC.exe 파일을 시작 프로그램으로 등록하여 자동으로 실행되며, 실행 후 다음과 같은 업데이트 동작을 하도록 구성되어 있습니다.

  • h**p://sub.openkey****.co.kr/op***/postmedia1/OKUpdate.exe (MD5 : 5d47b4790e0dc20d953a8ce90fe2ad25)
  • h**p://sub.openkey****.co.kr/op***/postmedia1/OKSetup.exe

다운로드된 OKUpdate.exe 파일은 자가 복제된 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\292546.exe] 파일을 생성하며, OKSetup.exe 파일은 자가 복제된 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\296421.exe] 파일을 생성하여 OpenKeyword 프로그램을 설치합니다.

이를 통하여 프로그램이 설치된 환경에서는 인터넷 검색시마다 다양한 광고창을 생성하며, 이런 동작으로 인해 웹 브라우저 속도 저하 등의 문제가 발생하고 있습니다.

해당 광고 동작을 중지하기 위해서는 Windows 작업 관리자에서 메모리에 상주하는 OpenKeywordD.exe, OpenKeywordS.exe 2개의 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 [오픈키워드(OpenKeyword)] 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(6자리 숫자).exe] 파일을 모두 삭제하시기 바랍니다.

참고로 (6자리 숫자).exe 파일의 아이콘은 그림과 같으므로 삭제시 참고하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - openkeyword = C:\Program Files\openkeyword\OpenKeywordC.exe /RUN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\오픈키워드(OpenKeyword)
HKEY_CURRENT_USER\Software\OpenKeyword

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용시 빈번한 광고창 생성으로 인터넷 속도 저하 현상이 발생할 수 있으므로 주의하시기 바랍니다.


728x90
반응형