본문 바로가기

벌새::Analysis

검색 도우미 : Windows FindKey Manager

인터넷 검색시 "신개념 광고 시스템" 광고창 생성 및 검색 키워드 값을 참조한 광고를 노출시키는 검색 도우미 "Windows FindKey Manager" 프로그램에 대해 살펴보도록 하겠습니다.

 

  • h**p://fre**.tistory.com/attachment/cfile9.uf@11453D375024BEC6146959.exe (MD5 : d0aee17e63ec1ebc7c60ced696381556)

해당 프로그램은 기존의 방식과는 다르게 특정 티스토리(Tistory) 블로그의 첨부 파일로 등록하여 배포가 이루어지고 있는 것이 특징입니다.

 

  검색 도우미 : Window FindKey Controller (2012.3.13)

 

또한 기존의 "Window FindKey Controller" 프로그램의 변형된 버전으로 추정되므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\findkey
C:\Program Files\findkey\findkey.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\findkey\findkey_.exe :: 시작 프로그램 등록 파일
C:\Program Files\findkey\uninstall_findkey.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\findkey\findkey.exe
 - MD5 : 747147331625f2b972eceec3b9d9f1dd
 - AhnLab V3 : Win-PUP/Helper.FindKey.857448 (VirusTotal : 20/42)

 

C:\Program Files\findkey\findkey_.exe
 - MD5 : 06f6194da885167f5a2506d3b61a1c5c
 - AhnLab V3 : PUP/Win32.Helper (VirusTotal : 5/42)

 

해당 프로그램은 "C:\Program Files\findkey" 폴더에 파일을 생성하며, Windows 시작시 findkey.exe, findkey_.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

자동 실행된 파일들은 네이버(Naver) 서버에 쿼리 전송을 통한 인터넷 연결 체크 및 특정 광고 서버로부터 광고 구성값을 받아오는 동작을 확인할 수 있습니다.

 

  <Right Security Blog> 검색 도우미 : windows tostpop Manager (2012.4.29)

 

  검색 도우미 : Windows Smart Pack (2012.6.8)

 

  검색 도우미 : Internet Explorer Searcher Keywordpop (2012.8.25)

 

  검색 도우미 : Windows Adpaper Manager (2012.8.26)

 

해당 광고 구성값은 기존에 다양한 검색 도우미 프로그램에서 확인할 수 있으므로 참고하시기 바랍니다. 

우선 인터넷 검색을 통해 검색 결과창을 클릭할 경우 "신개념 광고 시스템" 광고창이 생성되는 동작을 확인할 수 있습니다.

 

  신개념 광고 시스템 massinfo 광고창 생성 문제 해결 방법 (2012.5.1)

 

해당 신개념 광고 시스템 광고창 노출시 제시되는 "ad.massinfo.co.kr/ad_app.php?pid=fk2" URL 값을 토대로 어떤 프로그램을 통해 생성되는지 유추할 수 있다고 소개한 적이 있습니다. 

그 외에 포털 사이트 및 11번가, G마켓, 옥션 쇼핑몰 사이트에서 검색을 시도할 경우 추가적인 광고창이 생성되는 동작이 발생할 수 있습니다. 

해당 광고 동작은 메모리에 상주하는 findkey.exe 프로세스를 이용하고 있으므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "windows findkey Manager" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

 

  • C:\Program Files\findkey
  • C:\Program Files\findkey\findkey_.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\findkey
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - findkey.exe = C:\Program Files\findkey\findkey.exe
 - findkey_.exe = C:\Program Files\findkey\findkey_.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uninstall_findkey.exe

특히 프로그램 삭제 이후에도 시작 프로그램에 등록된 "C:\Program Files\findkey\findkey_.exe" 파일은 지속적으로 등록되어 시스템 시작시마다 네이버(Naver) 서버에 쿼리 전송을 시도하므로 프로그램 삭제 후에는 파일 및 레지스트리 값을 수동으로 삭제하시기 바랍니다.