웹 브라우저 주소 표시줄에 검색어를 입력할 경우 네이버(Naver) 검색 결과로 연결되며, 인터넷 검색시 추가적인 광고창이 생성되는 검색 도우미 SignKey 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 4445eba8bb551870d54675b437fa1c39)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.SignKey (VirusTotal : 18/46) 진단명으로 진단되고 있습니다.
▷ 검색 도우미 : FindLock (2012.4.2)
▷ 검색 도우미 : Keymatch (2012.6.5)
▷ 국내 악성코드 : signup (2012.7.10)
참고로 해당 프로그램과 유사성이 있는 다수의 검색 도우미 프로그램이 존재하였으므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signkey
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signkey\iesignkey.exe :: 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signkey\signkey.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signkey\skun.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signkey\iesignkey.exe
- MD5 : 601801e6a642828915c20c928c1001e9
- AhnLab V3 : PUP/Win32.SignKey (VirusTotal : 5/46)
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signkey\signkey.exe
- MD5 : c9929bb24a602c7374ed30f6cdd42155
- AhnLab V3 : PUP/Win32.SignKey (VirusTotal : 20/46)
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signkey\skun.exe
- MD5 : ca8fac94126e7b2fd7bf57a11645eba9
- AhnLab V3 : PUP/Win32.SignKey (VirusTotal : 2/46)
해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signkey" 폴더에 파일을 생성하며, Windows 시작시 signkey.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
실행된 파일은 1분 30초가 경과하는 시점에서 특정 서버로부터 프로그램 업데이트를 체크하는 동작을 확인할 수 있습니다.
프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우 특정 광고 서버를 거쳐서 네이버(Naver) 검색 결과로 연결되는 동작을 확인할 수 있습니다.
또한 특정 인터넷 쇼핑몰(예, 옥션(Auction))에 접속시 특정 광고 코드(click.clickstory.co.kr)가 추가된 동일한 인터넷 쇼핑몰 창을 생성하는 광고 동작을 확인할 수 있습니다.
참고로 추가되는 광고 코드 관련 서버는 테스트 당시 외부 해킹에 의해 악성코드 유포(온라인 게임핵 추정)가 이루어지고 있는 부분도 확인할 수 있었습니다.(※ 해당 악성 스크립트는 특정 보안 패치가 이루어지지 않은 PC 환경에서 자동으로 감염될 수 있습니다.)
그 외에도 인터넷 검색시 검색 키워드 값을 참조한 광고창이 생성되는 동작을 확인할 수 있습니다.
해당 광고 동작은 CMD 명령어로 실행된 iesignkey.exe 프로세스에 의해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 iesignkey.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판의 "signkey" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- signkey = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\signkey\signkey.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\signkey
HKEY_CURRENT_USER\Software\signkey
이런 종류의 검색 도우미 프로그램은 광고 동작으로 인하여 사용자에게 보안상 악성 스크립트가 노출될 수 있는 구멍을 유발할 수도 있으며, 인터넷 이용시 원치 않는 광고창 생성으로 불편을 주므로 주의하시기 바랍니다.