본문 바로가기

벌새::Analysis

검색 도우미 : RealKeyword 1.0

인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "RealKeyword 1.0" 프로그램(MD5 : f1daa385719ab928380fb226bb5144cf)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\RealKeyword
C:\Program Files\RealKeyword\CheckInstall.exe
C:\Program Files\RealKeyword\RealClick.dll :: BHO 등록 파일
C:\Program Files\RealKeyword\RealKeyword.exe
C:\Program Files\RealKeyword\RKPing.exe
C:\Program Files\RealKeyword\RKSvcLog.txt
C:\Program Files\RealKeyword\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\RKService.exe :: 서비스(RealKeyword Updater) 등록 파일 / 메모리 상주 프로세스
C:\WINDOWS\system32\rksvc.dll
C:\WINDOWS\system32\RKSvcLog.txt
C:\WINDOWS\system32\rkupdate.ini
C:\WINDOWS\system32\rkupdate.ini_

해당 프로그램은 "C:\Program Files\RealKeyword" 폴더와 시스템 폴더에 관련 파일을 생성하며, 프로그램 설치 과정에서 "C:\Program Files\RealKeyword\CheckInstall.exe" 파일은 특정 서버에 설치 PC의 Mac Address, 운영 체제(OS), 파트너 아이디(ID) 값을 전송합니다.

또한 "RKSvc(RealKeyword Updater)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\RKService.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

해당 서비스 파일은 특정 서버에서 config.ini 값을 3회 체크하지만, 테스트 시점에서는 정상적인 연결이 이루어지지 않는 것으로 보입니다.

프로그램이 설치된 환경에서 사용자가 웹 브라우저를 실행하여 홈 페이지(시작 페이지)로 접근할 경우 다음과 같은 체크 동작을 확인할 수 있습니다.

즉, Internet Explorer 웹 브라우저 실행시 "RKPing.exe → RealKeyword.exe" 파일을 실행하여, 사용자가 접속한 홈 페이지(시작 페이지) 등록값을 체크하는 동작을 확인할 수 있습니다.

광고 동작을 살펴보면 사용자가 인터넷 검색을 시도할 경우 특정 키워드 값에 따라 자동으로 추가적인 광고창을 생성합니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : RealClickBHO Class

게시자 : ngpInc

유형 : 브라우저 도우미 개체

CLSID : {AE76304D-721C-4A66-9F6B-8DE871B3256D}

파일 : C:\Program Files\RealKeyword\RealClick.dll

 

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 RealClick.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고창 생성이 이루어지므로, 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "RealClickBHO Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 우선 메모리에 상주하는 RKService.exe 서비스 파일을 종료하기 위해서 실행창에 [sc stop "RKSvc"] 명령어를 입력하여 서비스를 중지하시기 바랍니다.

그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "RealKeyword 1.0" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A339DFB0-B201-491D-9E5A-2EEAF3D6177A}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EA5AEB50-A06B-4997-8D1E-269A5DF0183E}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{AE76304D-721C-4A66-9F6B-8DE871B3256D}
HKEY_CURRENT_USER\Software\RealKeyword
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D2C3A5BC-9F73-4120-8642-6C0342E6220B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\RealClick.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE76304D-721C-4A66-9F6B-8DE871B3256D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CAFD9EAB-F45B-459A-A316-157F9EE18B74}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RealClick.RealClickBHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RealClick.RealClickBHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8DF43A8F-F310-4E14-ACC6-709CDC07F617}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A339DFB0-B201-491D-9E5A-2EEAF3D6177A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EA5AEB50-A06B-4997-8D1E-269A5DF0183E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\RealKeyword.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{AE76304D-721C-4A66-9F6B-8DE871B3256D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
RealKeyword
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RKSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RKSvc

 

하지만 프로그램 삭제 이후에도 "RKSvc(RealKeyword Updater)" 서비스 등록값은 정상적으로 동작하여 시스템 시작시 지속적인 외부 연결을 체크하는 동작이 있으므로 다음과 같은 추가적인 절차를 따르시기 바랍니다.

 

(1) 실행창에 [sc stop "RKSvc"] → [sc delete "RKSvc"] 명령어를 순서대로 입력하여 서비스 중지 및 삭제를 하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RKSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RKSvc

 (2) 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\RealKeyword
  • C:\Program Files\RealKeyword\CheckInstall.exe
  • C:\WINDOWS\system32\RKService.exe
  • C:\WINDOWS\system32\rksvc.dll
  • C:\WINDOWS\system32\RKSvcLog.txt
  • C:\WINDOWS\system32\rkupdate.ini
  • C:\WINDOWS\system32\rkupdate.ini_

해당 프로그램은 인터넷 이용시 원치 않는 광고창을 수시로 노출하여 불편을 유발하고 있으며, 프로그램 삭제를 정상적으로 제공하지 않는 점이 있으므로 주의하시기 바랍니다.

  • Thank U 2013.01.12 01:26 댓글주소 수정/삭제 댓글쓰기

    감사합니다^^

  • 김지영 2013.03.18 15:01 댓글주소 수정/삭제 댓글쓰기

    정말 친절한 포스팅이네요 검색하다가 들어왔는데 큰 도움이 되었습니다
    그런데 가르쳐주신건 전부 다 삭제했는데 C:\Program Files\RealKeyword에서 Realclick.dll(BHO)는 삭제가 안되네요
    액세스가 금지되었거나 사용중이라는 경고창이 뜨는데 이건 삭제를 안해도 괜찮은건가요?
    이상하게 리얼키워드는 제어판 프로그램추가제거에서 삭제를 해도해도 다시 깔리더니
    이것 때문에 다시 깔리는게 아닐까 생각도 들고요
    요새는 이런 악성 애드웨어들이 너무 많아서 정말 짜증나네요ㅠㅠ

    • Realclick.dll 파일은 BHO 등록으로 인해 실질적인 광고 기능을 수행하게 됩니다.

      아마 프로그램 삭제시 웹 브라우저를 실행하고 있거나 하는 문제로 삭제되지 않는 것 같습니다.

      웹 브라우저의 추가 기능 관리에서 RealClickBHO Class 항목이 있으면 선택하여 "사용 안 함"으로 변경하시고 삭제를 진행해 보시기 바랍니다.

      그리고 삭제가 안될 경우에는 안전 모드에서 삭제를 하시는 것도 좋은 방법입니다.

      프로그램 설치 이후에 자동으로 재설치가 이루어지는 경우에는 이런 프로그램을 사용자 몰래 매번 다운로드하는 악성 프로그램이 존재할 것으로 보이므로, 보안 제품으로 정밀 검사를 해보시길 권장합니다.