울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows Key Manager

벌새::Analysis

Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력시 광고가 노출되는 검색 도우미 프로그램으로 소개하면서, 시스템 시작시 "정규 업데이트 알림"창을 통한 추가적인 제휴(스폰서) 프로그램을 설치 유도하는 "Windows Key Manager" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : b86f74462a025f8c19a976fc8d0b2077)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.546376 (VirusTotal : 10/41) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Windows Assist Service (2012.6.18)

 

  검색 도우미 : Windows Key Pack (2012.6.23)

 

또한 해당 프로그램과 동일한 기능을 가진 다수의 프로그램이 확인되고 있으므로 참고하시기 바랍니다. 

프로그램이 설치되는 과정에서 사용자 Mac Address, 운영 체제(OS)를 체크하는 동작을 확인할 수 있으며, 이는 Windows XP 환경과 Windows 7 운영 체제 환경에서 일부 다르게 동작함을 예상할 수 있습니다.(※ 해당 글은 Windows XP 환경 기준이며, Windows 7 운영 체제에서는 변경된 부분만 살펴보도록 하겠습니다.)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows Key Manager
C:\Program Files\Windows Key Manager\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Key Manager\winkmc.dll :: BHO 등록 파일
C:\Program Files\Windows Key Manager\winkmu.exe :: 정규 업데이트 알림창 생성 파일
C:\Program Files\Windows Key Manager\winkmv.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스

 

※ Windows 7 운영 체제에서는 winkmv.exe 파일은 "winkmsvc(Windows Key Manager)" 서비스 등록 파일입니다.

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows Key Manager\Uninstall.exe
 - MD5 : 38c26271bb0718e8b6ece0355fb63f57
 - AhnLab V3 : PUP/Win32.WinKM (VirusTotal : 1/41)

 

C:\Program Files\Windows Key Manager\winkmc.dll
 - MD5 : 17a3c0e94f6f6b5e2f703c127e71ab54
 - AhnLab V3 : Win-PUP/Helper.WinKM.135880 (VirusTotal : 1/41)

 

C:\Program Files\Windows Key Manager\winkmu.exe
 - MD5 : 5288f61f9a67958c06744bd985cd3c40
 - AhnLab V3 : PUP/Win32.WinKM (VirusTotal : 1/41)

 

C:\Program Files\Windows Key Manager\winkmv.exe
 - MD5 : 09dd5d19b6ff74bb3e7358d9b3e2a3b2
 - AhnLab V3 : PUP/Win32.WinKM (VirusTotal : 9/41)

 

Windows XP 운영 체제 환경에서는 Windows 시작시 winkmv.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 업데이트 체크를 통한 메모리에 상주하도록 제작되어 있습니다. 

Windows 7 운영 체제 환경에서는 "winkmsvc(Windows Key Manager)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Key Manager\winkmv.exe /service" 파일을 자동으로 실행하여, 업데이트 체크를 통한 메모리에 상주하도록 구성되어 있습니다. 

[생성 폴더 / 파일 및 진단 정보]

 

C:\Program Files\Windows Key Manager\update
C:\Program Files\Windows Key Manager\update\winkmu.exe
C:\Program Files\Windows Key Manager\update\winkmv.exe
 - MD5 : 9d931ee9a2b0acd5b52e19bcfda7b641
 - AhnLab V3 : PUP/Win32.WinKM (VirusTotal : 7/41)

 

시스템 시작시 이루어지는 공통적인 업데이트 체크 또는 인터넷 이용 과정을 통해 메모리에 상주하는 winkmv.exe 파일은 "C:\Program Files\Windows Key Manager\update" 폴더에 winkmc.dll, winkmu.exe, winkmv.exe 파일 중 새로운 업데이트 파일이 존재할 경우 다운로드하여 "C:\Program Files\Windows Key Manager" 폴더에 존재하는 하위 버전 파일을 수정합니다. 

또한 시스템 시작 과정에서 "정규 업데이트 알림"창을 생성하여, 프로그램 디비(DB) 업데이트 및 제휴 프로그램의 설치를 유도하고 있습니다.

 

특히 해당 업데이트 알림창은 닫기(X) 버튼을 제공하지 않는 관계로 사용자가 각 체크 박스를 해제하지 않고 "확인" 버튼을 클릭할 경우 원치 않는 수익성 프로그램이 설치될 수 있으므로 주의하시기 바랍니다.

 

만약 "정규 업데이트 알림"창을 강제로 종료하기 위해서는 Windows 작업 관리자를 실행하여 winkmu.exe 프로세스를 찾아 수동으로 종료하시면 됩니다.

참고로 테스트 시점에서는 추가적인 제휴 프로그램으로 기존에 소개한 인터넷 검색시 광고창을 생성하는 "Windows Smart Pack" 검색 도우미 프로그램의 변형된 형태로 추정됩니다. 

"Windows Key Manager" 프로그램이 설치되면 브라우저 도우미 개체(BHO)와 "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks" 영역에 레지스트리 값을 등록하여 인터넷 검색 과정에서 광고 기능을 수행하는 것으로 구성되어 있습니다.

 

하지만 테스트 과정에서는 어떠한 광고 기능이 존재하지 않으며, 업데이트 기능을 통한 추가적인 수익성 프로그램을 배포할 목적이 강한 것으로 추정되고 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : Windows Key Manager

게시자 : Now Media Corp.

유형 : 브라우저 도우미 개체

CLSID : {53A4F514-7017-4927-B43C-E113D57D2F11}

파일 : C:\Program Files\Windows Key Manager\winkmc.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 winkmc.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 동작하도록 구성되어 있습니다.

 

그러므로 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "Windows Key Manager" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 Windows 작업 관리자를 실행하여 winkmv.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

그 후 제어판에 등록된 "Windows Key Manager" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
 - {30AC9091-FAF7-46d1-A86F-03643C38A672}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{8633CEA2-7907-4AC3-AEC8-E1AF981524E2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\winkmc.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30AC9091-FAF7-46d1-A86F-03643C38A672}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53A4F514-7017-4927-B43C-E113D57D2F11}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{106766AD-3D86-435E-ADB8-7FC5F4923DA8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1F4103E8-CCD1-454C-8BCE-E0557CCBC5DB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C92C6198-FA6D-4FC7-B440-9C355EB07EB1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winkmc.WkmGulf
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winkmc.WkmGulf.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winkmc.WkmUrlSrchHK
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winkmc.WkmUrlSrchHK.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
 - wkmv = inst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{53A4F514-7017-4927-B43C-E113D57D2F11}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - winkmv = C:\Program Files\Windows Key Manager\winkmv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows Key Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Key Manager

 

※ Windows 7 운영 체제에서는 시작 프로그램(Run) 등록 대신 서비스 등록을 통해 시스템 시작시 자동으로 실행됩니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winkmsvc

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 시스템 시작시 업데이트 창을 통해 추가적인 제휴(스폰서) 프로그램을 설치 유도하므로 주의하시기 바랍니다.