울지않는벌새 : Security, Movie & Society

검색 도우미 : RealKeyword 1.0

벌새::Analysis

인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "RealKeyword 1.0" 프로그램(MD5 : f1daa385719ab928380fb226bb5144cf)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\RealKeyword
C:\Program Files\RealKeyword\CheckInstall.exe
C:\Program Files\RealKeyword\RealClick.dll :: BHO 등록 파일
C:\Program Files\RealKeyword\RealKeyword.exe
C:\Program Files\RealKeyword\RKPing.exe
C:\Program Files\RealKeyword\RKSvcLog.txt
C:\Program Files\RealKeyword\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\RKService.exe :: 서비스(RealKeyword Updater) 등록 파일 / 메모리 상주 프로세스
C:\WINDOWS\system32\rksvc.dll
C:\WINDOWS\system32\RKSvcLog.txt
C:\WINDOWS\system32\rkupdate.ini
C:\WINDOWS\system32\rkupdate.ini_

해당 프로그램은 "C:\Program Files\RealKeyword" 폴더와 시스템 폴더에 관련 파일을 생성하며, 프로그램 설치 과정에서 "C:\Program Files\RealKeyword\CheckInstall.exe" 파일은 특정 서버에 설치 PC의 Mac Address, 운영 체제(OS), 파트너 아이디(ID) 값을 전송합니다.

또한 "RKSvc(RealKeyword Updater)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\RKService.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

해당 서비스 파일은 특정 서버에서 config.ini 값을 3회 체크하지만, 테스트 시점에서는 정상적인 연결이 이루어지지 않는 것으로 보입니다.

프로그램이 설치된 환경에서 사용자가 웹 브라우저를 실행하여 홈 페이지(시작 페이지)로 접근할 경우 다음과 같은 체크 동작을 확인할 수 있습니다.

즉, Internet Explorer 웹 브라우저 실행시 "RKPing.exe → RealKeyword.exe" 파일을 실행하여, 사용자가 접속한 홈 페이지(시작 페이지) 등록값을 체크하는 동작을 확인할 수 있습니다.

광고 동작을 살펴보면 사용자가 인터넷 검색을 시도할 경우 특정 키워드 값에 따라 자동으로 추가적인 광고창을 생성합니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : RealClickBHO Class

게시자 : ngpInc

유형 : 브라우저 도우미 개체

CLSID : {AE76304D-721C-4A66-9F6B-8DE871B3256D}

파일 : C:\Program Files\RealKeyword\RealClick.dll

 

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 RealClick.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고창 생성이 이루어지므로, 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "RealClickBHO Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 우선 메모리에 상주하는 RKService.exe 서비스 파일을 종료하기 위해서 실행창에 [sc stop "RKSvc"] 명령어를 입력하여 서비스를 중지하시기 바랍니다.

그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "RealKeyword 1.0" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A339DFB0-B201-491D-9E5A-2EEAF3D6177A}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EA5AEB50-A06B-4997-8D1E-269A5DF0183E}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{AE76304D-721C-4A66-9F6B-8DE871B3256D}
HKEY_CURRENT_USER\Software\RealKeyword
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{D2C3A5BC-9F73-4120-8642-6C0342E6220B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\RealClick.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE76304D-721C-4A66-9F6B-8DE871B3256D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CAFD9EAB-F45B-459A-A316-157F9EE18B74}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RealClick.RealClickBHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RealClick.RealClickBHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8DF43A8F-F310-4E14-ACC6-709CDC07F617}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A339DFB0-B201-491D-9E5A-2EEAF3D6177A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EA5AEB50-A06B-4997-8D1E-269A5DF0183E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\RealKeyword.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{AE76304D-721C-4A66-9F6B-8DE871B3256D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
RealKeyword
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RKSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RKSvc

 

하지만 프로그램 삭제 이후에도 "RKSvc(RealKeyword Updater)" 서비스 등록값은 정상적으로 동작하여 시스템 시작시 지속적인 외부 연결을 체크하는 동작이 있으므로 다음과 같은 추가적인 절차를 따르시기 바랍니다.

 

(1) 실행창에 [sc stop "RKSvc"] → [sc delete "RKSvc"] 명령어를 순서대로 입력하여 서비스 중지 및 삭제를 하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RKSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RKSvc

 (2) 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\RealKeyword
  • C:\Program Files\RealKeyword\CheckInstall.exe
  • C:\WINDOWS\system32\RKService.exe
  • C:\WINDOWS\system32\rksvc.dll
  • C:\WINDOWS\system32\RKSvcLog.txt
  • C:\WINDOWS\system32\rkupdate.ini
  • C:\WINDOWS\system32\rkupdate.ini_

해당 프로그램은 인터넷 이용시 원치 않는 광고창을 수시로 노출하여 불편을 유발하고 있으며, 프로그램 삭제를 정상적으로 제공하지 않는 점이 있으므로 주의하시기 바랍니다.