울지않는벌새 : Security, Movie & Society

검색 도우미 : Timeclick

벌새::Analysis

인터넷 검색시 사용자 IP 주소, 검색 키워드 및 환경 정보를 수집하며 추가적인 광고창을 생성하는 검색 도우미 Timeclick 또는 타임클릭(SKPlus) 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 07fa859909bf9048a8301d86ed33d7a2)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.Agentb.aalt (VT : 14/47) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\skplus
C:\Program Files\skplus.prj
C:\Program Files\skplus\scsys.exe
C:\Program Files\skplus\scUserSet.exe
C:\Program Files\skplus\skplus.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\skplus\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\skplus\Uninstall.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\skplus\skplus.exe
 - MD5 : 044439c98b2ad9afd5b783d2b043aa2b
 - Hauri ViRobot : Trojan.Win32.A.Agent.106496.EV (VT : 19/47)

 

  검색 도우미 : Winskplus (2011.5.8)

 

해당 프로그램은 "C:\Program Files\skplus" 폴더에 파일을 생성하며, 기존의 Winskplus 검색 도우미 프로그램과 동일한 폴더명을 가지고 있으므로 참고하시기 바랍니다.

Windows 시작시 "C:\Program Files\skplus\skplus.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 광고 구성값 및 업데이트 체크 동작을 확인할 수 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색 또는 웹 사이트 창 종료시 사용자 IP 정보 체크, 검색 키워드 값, 웹 브라우저 및 운영 체제(OS), 화면 해상도, Mac Address 값, 검색 사이트 정보를 특정 광고 서버에서 수집하는 동작을 확인할 수 있습니다.

해당 정보를 바탕으로 인터넷 검색시 특정 광고 서버를 경유하여 추가적인 광고창 생성 동작을 확인할 수 있습니다.


위와 같은 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 skplus.exe 프로세스를 찾아 수동으로 종료하시기 바라며, 해당 프로세스의 파일 속성값에서는 WindowsUpdate.exe로 설정되어 마치 윈도우 업데이트 관련 파일처럼 보이도록 하고 있는 점이 특징입니다.


프로그램 삭제는 제어판에 등록된 "Timeclick" 또는 "skplus" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\skplus
  • C:\Program Files\skplus\skplus.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\skplus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - skplus = C:\Program Files\skplus\skplus.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Timeclick

 

해당 프로그램은 인터넷 검색시 사용자 IP 체크 등의 외부 연결 동작으로 인해 인터넷 속도 저하가 발생할 수 있으며, 사용자의 인터넷 사용 정보가 외부 광고 서버에서 활용될 가능성이 존재하므로 주의하시기 바랍니다.