본문 바로가기

벌새::Analysis

[삭제] PCYac + KeywordYac

국내에서 제작되어 시스템 최적화 프로그램으로 소개되어 설치되지만, 실제로는 추가적인 제휴(스폰서) 프로그램 설치 목적으로 배포되는 것으로 추정되는 "PCYac + KeywordYac" 프로그램에 대해 살펴보도록 하겠습니다.

 

프로그램 배포에서는 (주)이스트소프트 업체의 무료 백신 알약(ALYac)과 이름이 유사한 PCYac 프로그램으로 소개하여 설치되는 것으로 보이며, PCYac 프로그램에서 제공하는 이용약관에서는 다음과 같은 프로그램으로 소개되고 있습니다.

이용약관 내용을 확인해보면 PCYac 프로그램은 시스템 최적화 프로그램 기능을 무료로 제공하며, 추가적으로 인터넷 검색시 광고창 생성 기능이 포함되어 있다고 안내하고 있습니다.

 

배포되는 PCYac 드랍퍼 파일(MD5 : 7bfc57b26d2f0ba47b210ac7acbcc45a)을 통해 설치가 진행되면, 특정 서버로부터 PCYac 설치 파일(MD5 : 001ed3ac2a5fda240f67c2c74b08792d)을 다운로드하여 "C:\Program Files\PCYac" 폴더에 설치가 이루어지며, 추가적으로 사용자 몰래 "C:\Program Files\KeywordYac" 폴더에 KeywordYac 프로그램을 설치하는 동작을 확인할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Templates\PCYac_License.rtf
C:\Program Files\KeywordYac :: KeywordYac 프로그램
C:\Program Files\KeywordYac\KeywordYac.exe
C:\Program Files\KeywordYac\KeywordYacUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\KeywordYac\unins000.dat
C:\Program Files\KeywordYac\unins000.exe :: KwywordYac 프로그램 삭제 파일
C:\Program Files\PCYac :: PCYac 프로그램
C:\Program Files\PCYac\PCYac.exe :: 메모리 상주 프로세스
C:\Program Files\PCYac\PCYacUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\PCYac\unins000.dat
C:\Program Files\PCYac\unins000.exe :: PCYac 프로그램 삭제 파일

 

해당 프로그램들은 Windows 시작시 KeywordYacUpdate.exe, PCYacUpdate.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행됩니다. 

자동 실행된 2개의 파일은 각각 특정 서버에 접속하여 업데이트 체크 기능을 가지고 있으며, 해당 업데이트 서버는 추가적인 제휴(스폰서) 프로그램이 등록될 경우 설치 유도를 할 것으로 추정됩니다. 

   제휴(스폰서) 프로그램 : 안전지대(Safe Terra) (2011.6.17)

 

  검색 도우미 : SafeGuide (2011.7.14)

 

  검색 도우미 : Window network SafeTerra + TSolution (2011.10.17)

 

  제휴(스폰서) 프로그램 : 그린오픈(GreenOpen) 2.0 (2012.2.27)

 

  [삭제] 광고창 생성 기능을 하는 bizsearch.exe (2012.4.8)

 

설치된 KeywordYac, PCYac 프로그램의 아이콘으로 추정해보면 기존의 Safe Terra, GreenOpen 계열 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

1. PCYac 프로그램

 

해당 프로그램은 시작 프로그램으로 등록된 PCYacUpdate.exe 파일을 시스템 시작시 자동 실행하여 업데이트 체크를 한 후, PCYac.exe 프로세스를 메모리에 상주시키도록 구성되어 있습니다.

 

실제 해당 프로그램은 이용약관에서 안내하는 시스템 최적화 기능은 존재하지 않으며, 인터넷 검색시 광고창 생성 등의 추가적인 광고 기능이 발생할 수 있습니다. 

그러므로 프로그램 삭제시에는 Windows 작업 관리자에서 PCYac.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "PCYac" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - PCYac = C:\Program Files\PCYac\PCYacUpdate.exe

HKEY_CURRENT_USER\Software\PCYac
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{5273F545-7D19-4ABA-8208-E9BF1AE38C30}_is1

 

2. KeywordYac 프로그램

 

해당 프로그램은 PCYac 프로그램이 설치되는 과정에서 사용자 몰래 추가적으로 설치가 이루어지며, 시작 프로그램으로 등록된 KeywordYacUpdate.exe 파일을 자동 실행하여 업데이트 체크를 하도록 구성되어 있습니다.(※ 그 외의 기능은 존재하지 않으며 KeywordYac.exe 파일은 추가적인 동작이 확인되지 않습니다.) 

KeywordYac 프로그램은 제어판을 통한 삭제 기능을 제공하지 않으며, 사용자가 "C:\Program Files\KeywordYac\unins000.exe" 파일을 직접 실행하여 프로그램을 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\KeywordYac

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - KeywordYac = C:\Program Files\KeywordYac\KeywordYacUpdate.exe

 

결론적으로 해당 프로그램은 이용약관에서 언급하는 기능은 제공하지 않으며, 설치 과정에서 사용자 몰래 추가적인 KeywordYac 프로그램을 설치하며 삭제 기능까지 숨기고 있는 점을 확인할 수 있으므로 주의하시기 바랍니다.