Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드를 입력시 광고로 연결되는 것으로 추정되는 검색 도우미 "Windows Key Pack" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 07ae9918d96c46b21c0cfb3702bb391b)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.WinKP (VirusTotal : 3/42) 진단명으로 진단되고 있습니다.
▷ 검색 도우미 : Windows Assist Service (2012.6.18)
또한 해당 프로그램은 기존에 소개한 "Windows Assist Service" 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.
해당 프로그램의 설치시에는 사용자 Mac Address 값 체크 및 운영 체제(OS) 종류를 확인하는 동작을 확인할 수 있으며, 이에 따라 Windows XP 이외에 Windows 7 운영 체제 환경에서도 추가적으로 변경된 부분을 살펴보도록 하겠습니다.
C:\Program Files\Windows Key Pack
C:\Program Files\Windows Key Pack\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Key Pack\winkpkc.dll :: BHO 등록 파일
C:\Program Files\Windows Key Pack\winkpku.exe
C:\Program Files\Windows Key Pack\winkpkv.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
※ Windows 7 운영 체제에서는 winkpkv.exe 파일이 "winkpksvc(Windows Key Pack)" 서비스 항목에 등록됩니다.
C:\Program Files\Windows Key Pack\Uninstall.exe
- MD5 : 9cbf93e8aced933bdbd34e90f943687d
- AhnLab V3 : PUP/Win32.WinKP (VirusTotal : 1/42)
C:\Program Files\Windows Key Pack\winkpkc.dll
- MD5 : b2f7e2120421d24d5fa44cf86db63a84
- AhnLab V3 : Win-PUP/Helper.WinKP.135880 (VirusTotal : 2/42)
C:\Program Files\Windows Key Pack\winkpku.exe
- MD5 : f0ba6b3d9c13b13d37f40984f8cf8528
- AhnLab V3 : PUP/Win32.WinKP (VirusTotal : 1/42)
C:\Program Files\Windows Key Pack\winkpkv.exe
- MD5 : 565ed4a4c89fb608031fac93e5a83185
- AhnLab V3 : Win-PUP/Helper.WinKP.119496 (VirusTotal : 3/42)
해당 프로그램은 Windows XP 운영 체제 환경에서는 Windows 시작시 winkpkv.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, Windows 7 운영 체제 환경에서는 서비스에 "winkpksvc(Windows Key Pack)" 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Key Pack\winkpkv.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.
참고로 이전 "Windows Assist Service" 프로그램과는 다르게 추가적인 버전 체크를 통한 파일 변경 등의 동작은 확인되지 않고 있습니다.
프로그램이 설치된 환경에서 사용자는 Internet Explorer 웹 브라우저의 "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks" 등록값과 브라우저 도우미 개체(BHO) 등록값을 통해 추론해보면, 인터넷 검색 과정에서 광고창 생성 등의 동작이 있을 것으로 추정됩니다.
이름 : Windows Key Pack
게시자 : Now Media Corp.
유형 : 브라우저 도우미 개체
CLSID : {6CFAA0AD-C62B-47B9-B850-7F295A7B4349}
파일 : C:\Program Files\Windows Key Pack\winkpkc.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 winkpkc.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 사용자 키워드 감시를 통한 광고창 생성 등의 동작이 있을 것으로 추정됩니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "Windows Key Pack" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
또한 해당 프로그램은 winkpkv.exe 프로세스가 메모리에 상주하므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Windows Key Pack" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
- {7798915B-6AEF-4368-AA17-936752B0856D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{24922BCC-A942-4A76-9E72-53ABD96487FC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\winkpkc.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6CFAA0AD-C62B-47B9-B850-7F295A7B4349}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7798915B-6AEF-4368-AA17-936752B0856D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8A8DE69E-7FA3-4CE1-9BB9-D02F79368F83}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AB0316F7-D3C2-4F26-A44F-2C2AFB8C38BF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0ECEFCBD-833F-428C-B1BD-609228E20B6B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winkpkc.WkpkGulf
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winkpkc.WkpkGulf.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winkpkc.WkpkUrlSrchHK
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winkpkc.WkpkUrlSrchHK.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
- wkpkv = inst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6CFAA0AD-C62B-47B9-B850-7F295A7B4349}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- winkpkv = C:\Program Files\Windows Key Pack\winkpkv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Key Pack
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Key Pack
※ Windows 7 운영 체제 환경에서 추가된 레지스트리 등록값
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winkpksvc
해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 사용자가 설치 여부를 확인하기 어려우며, 프로그램의 이름으로는 어떤 기능을 하는지 알 수 없으므로 주의하시기 바랍니다.