본문 바로가기

벌새::Analysis

검색 도우미 : Windows Internet Explorer KoreanKeyword V.2.2.1.1

Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드를 입력할 경우 "열린 주소창 검색(kinx.ktguide.com)" 결과로 연결을 시도하는 검색 도우미 "Windows Internet Explorer KoreanKeyword V.2.2.1.1" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : ab90cf996dfecdccb6599fd2e9ce0112)에 대하여 nProtect 보안 제품에서는 Adware/W32.KrAdword.253992 (VirusTotal : 14/39) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\KoreanKeyword
C:\Program Files\KoreanKeyword\WinKeyword_Up.exe :: 시작 프로그램(WinKeyword_Up) 등록 파일
C:\Program Files\KoreanKeyword\WinKeyword.exe :: 시작 프로그램(WinKeyword) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\KoreanKeyword\WKK_uninstaller.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\KoreanKeyword\WinKeyword_Up.exe
 - MD5 : 3b064b2c58caca0c2f6fcebb3c4d00f3
 - nProtect : Adware/W32.KrAdword.122920 (VirusTotal : 12/43)

 

해당 프로그램은 "C:\Program Files\KoreanKeyword" 폴더에 파일을 생성하며, Windows 시작시 WinKeyword_Up.exe 파일을 시작 프로그램(WinKeyword_Up)으로 등록하여 자동 실행되도록 구성되어 있습니다. 

이를 통해 특정 서버에서 업데이트 정보를 체크하여 추가적인 c_exe.exe 파일(MD5 : b9c0f744fe43928a2ed466297c65c650)을 다운로드하여 "C:\Program Files\KoreanKeyword\WinKeyword.exe" 파일로 자가 복제합니다.

 

이를 통해 생성된 WinKeyword.exe 파일은 Windows 시작시 자동 실행되도록 시작 프로그램(WinKeyword)으로 등록하여 메모리에 상주하도록 구성되어 있습니다. 

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드를 입력할 경우 "열린 주소창 검색(kinx.ktguide.com)" 결과로 연결이 이루어지는 동작을 확인할 수 있습니다. 

참고로 연결 과정에서 거치는 URL 정보를 살펴보면 특정 광고 코드(clickstory.co.kr)가 추가되어 연결이 이루어집니다. 

그 외에도 네이버(Naver) 검색을 시도할 경우 사용자 검색 키워드 값을 참조하여 다음(Daum) 검색이 함께 이루어지는 부분도 확인할 수 있습니다. 

해당 프로그램은 WinKeyword.exe 프로세스를 통해 광고 동작이 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "Windows Internet Explorer KoreanKeyword V.2.2.1.1" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

 

  • C:\Program Files\KoreanKeyword
  • C:\Program Files\KoreanKeyword\WKK_uninstaller.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\WinKeyword
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WinKeyword = C:\Program Files\KoreanKeyword\WinKeyword.exe
 - WinKeyword_Up = C:\Program Files\KoreanKeyword\WinKeyword_Up.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinKeyword

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 이름이 사용자에게 Windows 관련 프로그램으로 혼동을 유발할 수 있다는 점에서 주의하시기 바랍니다.