최근 국내에서 배포되는 광고 프로그램으로 인하여 Adobe Flash Player 프로그램을 삭제하는 과정에서 삭제가 되지 않는 문제가 확인되어 원인과 해결 방법에 대해 살펴보도록 하겠습니다.
사용자가 어떤 필요에 의해 제어판에서 "Adobe Flash Player 11 ActiveX" 삭제 항목을 이용하여 프로그램을 삭제하는 과정에서 "충돌하는 다음 응용 프로그램을 닫으면 설치 프로그램이 자동으로 다시 시작합니다."라는 문구와 함께 "winkeyword, Internet Explorer" 목록을 제시하는 문제가 발생하게 됩니다.
실제 Adobe Flash Player 프로그램 삭제를 위해 사용자가 Internet Explorer 웹 브라우저를 모두 종료한 상태임에도 위와 같은 메시지가 생성되어 프로그램 삭제가 진행되지 않는 문제가 발생합니다.
이에 제시된 메시지를 기반으로 확인을 해보면 최근 "윈도우 한글 키워드 권장 프로그램 업데이트"이라는 이름으로 배포되는 "Windows Internet Explorer KoreanKeyword V.2.2.1.1" 검색 도우미 프로그램으로 인한 문제임을 확인할 수 있었습니다.
"Windows Internet Explorer KoreanKeyword V.2.2.1.1" 프로그램은 기존에 분석한 정보와 같이 "C:\Program Files\KoreanKeyword" 폴더에 파일을 생성하며, Windows 시작시 WinKeyword_Up.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
참고로 프로그램의 설치 파일(MD5 : 3e5edb5eac9c71cb43cd40cb0ab0d808)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.WinKeyword.262624 (VirusTotal : 12/46) 진단명으로 진단되고 있습니다.
프로그램이 설치된 환경에서는 인터넷을 이용하는 과정에서 "열린 주소창 검색(dns.ktguide.com)" 결과로 연결을 시도하며, 스크롤바를 하단으로 내릴 경우 줌닷컴(zum.com) 광고가 노출되는 동작을 확인할 수 있습니다.
그런데 해당 프로그램은 시스템 시작 후 동작에서 자동 실행된 WinKeyword.exe 프로세스가 메모리에 상주하면서, 백그라운드 방식으로 iexplore.exe 프로세스를 실행시켜 "dns4.ktguide.com" 검색을 시도하는 등의 동작이 지속적으로 발생하게 됩니다.
이로 인하여 사용자는 Internet Explorer 웹 브라우저를 종료한 상태에서 Adobe Flash Player 프로그램을 삭제하려고 할 경우 삭제를 방해하는 문제가 발생하게 됩니다.
그러므로 위와 같이 Adobe Flash Player 프로그램을 삭제할 수 없는 경우에는 Windows 작업 관리자를 실행하여 iexplore.exe, WinKeyword.exe 프로세스를 찾아 모두 수동 종료를 하신 후 삭제를 진행하시기 바랍니다.
또한 문제가 되는 검색 도우미 프로그램을 삭제하기 위해서는 제어판의 "Windows Internet Explorer KoreanKeyword V.2.2.1.1" 삭제 항목을 이용하여 삭제하실 수 있습니다.(※ 자세한 삭제 정보는 분석 정보를 제공하는 링크 내용을 참고하시기 바랍니다.)
- C:\Program Files\KoreanKeyword\WinKeyword.exe (AhnLab Next V3 : PUP/Win32.WinKeyword)
- C:\Program Files\KoreanKeyword\WinKeyword_Up.exe (AhnLab Next V3 : PUP/Win32.CloverPlus)
그 외에 AhnLab Next V3 Beta 제품에서는 실시간 감시 및 수동 검사로 관련 파일을 진단 및 치료를 지원하고 있으므로 참고하시기 바랍니다.