본문 바로가기

벌새::Analysis

검색 도우미 : Internet Explorer Searcher Keywordpop

반응형

인터넷 이용시 원치 않는 광고창이 생성될 것으로 추정되는 검색 도우미 "Internet Explorer Searcher Keywordpop" 프로그램에 대해 살펴보도록 하겠습니다.

 

  1. MD5 : 81ef3fd828bd2ab0aab79027f18b331b - Internet Explorer Searcher Keywordpop
  2. MD5 : a4f66dc46a758061b77cdc262c180131 - Micro keywordpop

해당 KeywordPop 검색 도우미 프로그램은 파일 구성은 유사하지만 설치 파일에 따라서는 프로그램 이름을 다르게 등록하는 것도 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\keywordpop
C:\Program Files\keywordpop\AutoUpdater.exe :: 시작 프로그램 등록 파일
C:\Program Files\keywordpop\keywordpop.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\keywordpop\uninstall_keywordpop.exe :: 프로그램 삭제 파일
C:\WINDOWS\keywordpop_biza.exe

 

해당 프로그램은 설치시 "C:\WINDOWS\keywordpop_biza.exe" 파일(MD5 : f7c9fc0719a203f4389d9865af023ddc))을 생성하여 설치가 진행되며, Windows 시작시 AutoUpdater.exe, keywordpop.exe 2개의 파일을 시작 프로그램으로 등록하여 자동으로 실행되도록 구성되어 있습니다.

 

1. "C:\Program Files\keywordpop\AutoUpdater.exe" 시작 프로그램 

해당 파일은 시스템 시작시 자동으로 실행되어 특정 서버에 연결을 시도하여 업데이트 체크 및 추가적인 카운터(Counter) 및 번들(Bundle) 프로그램 체크를 하는 것으로 보입니다.

 

  • h**p://withblogger.net/update******/autoupdate/Update***/updater.exe (MD5 : c2ae0a4c48ace5b38a6eeddcf292baf1)
  • h**p://withblogger.net/update******/autoUpdate/***/autoupdater.exe (MD5 : 85bdf99ea0521aac74fbbefa787f8d0d)

업데이트 체크값에서는 2개의 파일이 현재 등록되어 있으며, 해당 업데이트 값들은 실제 KeywordPop 검색 도우미 기능과는 관련성이 떨어져 보입니다. 

특히 Internet Explorer Searcher Keywordpop 검색 도우미 프로그램을 제어판을 통해 삭제를 진행하여도 AutoUpdater.exe 파일은 지속적으로 시작 프로그램에 등록하여 시스템 시작시마다 업데이트 체크 동작을 진행합니다.

 

이는 차후에 배포자의 의도에 따라 추가적인 다운로드와 연결될 수 있는 부분이므로, 반드시 추가적으로 수동으로 삭제하시기 바랍니다.

 

참고로 해당 프로그램이 생성된 파일에서는 "doubleup communication" 디지털 서명이 포함되어 있는 것이 특징입니다.

 

2. "C:\Program Files\keywordpop\keywordpop.exe" 시작 프로그램 

해당 파일은 시스템 시작시 자동으로 실행되어 특정 서버로부터 광고 구성값을 받아오는 동작을 합니다.

 

  <Right Security Blog> 검색 도우미 : windows tostpop Manager (2012.4.29)

 

  검색 도우미 : Windows Smart Pack (2012.6.8)

 

참고로 해당 광고값과 유사성이 강한 검색 도우미 프로그램이 기존에 존재하였으므로 참고하시기 바랍니다.

 

또한 실행된 파일은 메모리에 상주하여 사용자가 인터넷을 이용하는 과정에서 포털 검색 및 11번가, G마켓, 옥션 검색시 추가적인 광고창이 생성될 것으로 추정됩니다. 

그러므로 프로그램 삭제시에는 Windows 작업 관리자에서 keywordpop.exe 프로세스를 찾아 수동으로 종료하시고 삭제를 진행하시기 바랍니다. 

프로그램 삭제는 제어판의 "Internet Explorer Searcher Keywordpop" 또는 "Micro keywordpop" 삭제 항목을 이용하여 삭제할 수 있습니다.(※ 그 외의 "KeywordPop" 문구가 들어간 다른 이름으로 등록될 수 있습니다.)

 

프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\Program Files\keywordpop
  • C:\Program Files\keywordpop\AutoUpdater.exe
  • C:\WINDOWS\keywordpop_biza.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - AutoUpdater = C:\Program Files\keywordpop\AutoUpdater.exe
HKEY_LOCAL_MACHINE\SOFTWARE\keywordpop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - keywordpop.exe = C:\Program Files\keywordpop\keywordpop.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uninstall_keywordpop.exe

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색시 원치 않는 광고창이 생성될 수 있으므로 주의하시기 바랍니다.

728x90
반응형