유해 사이트 차단과 광고탭 생성 기능을 필수적으로 제공하는 아이키퍼(IKeeper) 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치는 배포용 파일(MD5 : 3b1fbb038d895c74eaa95ff80637079e)을 통해 특정 서버로부터 아이키퍼(IKeeper) 설치 파일(ikeepersetup.exe <MD5 : e6bfbdac204746b42cbc29f2f97d55c7>)을 "C:\Users\(사용자 계정)~1\AppData\Local\Temp\IKeeperSetup.exe" 파일로 다운로드하여 설치가 진행됩니다.
아이키퍼(IKeeper) 프로그램의 설치 단계에서 제공하는 이용약관에서는 유해 사이트 차단 기능 이외에 사용자가 웹 사이트 이용시 키워드 검색에 따른 광고를 노출하는 기능이 필수적으로 추가되어 있음을 안내하고 있습니다.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IKeeper
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IKeeper\IKeeper 제거.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IKeeper\IKeeper.lnk
C:\Users\(사용자 계정)\AppData\Local\Temp\LastTimeIkeeperCK.dat
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\category.dat
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\Data
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\domainmatch.dat
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\except.dat
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeper.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeper.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeper.ini
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeepercmd.exe :: 아이키퍼(IKeeper) 프로그램 설정
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeepercrypt.dll
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeperm.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeperopen.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeperr.exe
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeperrm.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeepersl.dll
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeepersvc.exe :: 서비스(IKeeper Update Services) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeperup.exe
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeperupdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeperversion.ini
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikkeyword.dt
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\lastdomain.dat
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\mainsite.dat
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\sitedepth1.dat
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\uninst.exe
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\Update
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\Update\IKeeperUpdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\Update\IKeeperVersion.ini
해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\IKeeper" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 동작을 수행합니다.
"IKeeper Update Services" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\IKeeperSvc.exe" 파일을 자동 실행하여, 다음의 3개의 프로세스를 추가적으로 메모리에 상주시킵니다.
- C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeper.exe
- C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeperm.exe
- C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeperopen.exe
자동 실행된 서비스 파일(ikeepersvc.exe)은 1분이 경과하는 시점에서 "C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeperup.exe" 파일을 로딩하여 특정 서버에서 업데이트 파일(IKeeperUpdate.exe)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\Update\IKeeperUpdate.exe" 파일로 생성한 후, 생성된 파일(IKeeperUpdate.exe)은 20초가 경과하면 프로그램 버전 체크(C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\Update\IKeeperVersion.ini)를 한 후 자동 종료 처리됩니다.
또한 아이키퍼(IKeeper) 프로그램 설치시 IKeeperCmd, IKeeperUp, IKeeperUpdate 프로그램 항목을 Windows 방화벽 허용 프로그램으로 추가하여 외부와 통신할 수 있도록 등록하고 있습니다.
이렇게 설치된 아이키퍼(IKeeper) 프로그램은 기본적으로 사용자가 "C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeepercmd.exe" 파일을 찾아서 직접 실행하여, 다음과 같은 절차에 따라 회원 가입을 통한 서비스 이용을 시작하지 않는 경우에는 유해 사이트 차단 기능은 제공하지 않습니다.
하지만 사용자가 아이키퍼(IKeeper) 유해 사이트 차단 기능을 활성화하지 않은 상태에서도 광고 기능을 수행하는 필수 구성 요소를 통해 인터넷 이용시 다음과 같은 광고 기능이 동작할 수 있습니다.
아이키퍼(IKeeper) 프로그램의 광고 기능은 사용자가 인터넷을 통해 검색을 시도할 경우 검색 키워드 값, 검색 위치 등의 정보를 특정 서버에 전송하여 매칭되는 광고를 표시할 수 있습니다.
현재 테스트 시점에서는 정상적인 광고 노출이 이루어지지 않고 있으며, 해당 광고 방식은 기존의 오픈탭(OpenTab) 광고와 유사하게 광고탭을 다수 노출하는 방식으로 추정됩니다.
이름 : ikeeper
게시자 : HOW SOFT
유형 : 브라우저 도우미 개체
CLSID : {E2D71B19-CCD4-4C9E-92FC-449699215330}
파일 : C:\Users\(사용자 계정)\AppData\Roaming\IKeeper\ikeeper.dll
해당 광고 기능은 웹 브라우저 동작시 ikeeper.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 기능 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "ikeeper" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
또한 Windows 작업 관리자를 실행하여 광고 기능과 관련된 ikeeperopen.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
특히 아이키퍼(IKeeper) 프로그램은 시스템 시작 후 ikeeper.exe, ikeeperm.exe, ikeepersvc.exe 프로세스가 메모리에 상주하며, 해당 프로세스는 사용자에 의한 종료가 이루어지지 않도록 프로세스 보호 기능을 가지고 있으므로 강제적인 종료가 어렵습니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "IKeeper" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Ikeeper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2D71B19-CCD4-4c9e-92FC-449699215330}
HKEY_LOCAL_MACHINE\SOFTWARE\Ikeeper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2D71B19-CCD4-4c9e-92FC-449699215330}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IKeeper
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\IKeeper Update Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
- {0C78BE1B-E4D1-446A-AA99-D5F398C75951} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\IKeeper
\ikeeperup.exe|Name=IKeeperUp|
- {13144BDF-D714-43EA-9F9C-4CA862981709} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\IKeeper
\ikeepercmd.exe|Name=IKeeperCmd|
- {3DADE058-4E5D-4FFC-A4E3-FFDF4698A9AB} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\IKeeper
\ikeeperup.exe|Name=IKeeperUp|
- {68AA407B-EC32-40B7-A05D-6D32B0C38559} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\IKeeper
\ikeepercmd.exe|Name=IKeeperCmd|
- {6C3EBD11-B1FA-4263-808D-492AFC1B1F04} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\IKeeper
\ikeeperupdate.exe|Name=IKeeperUpdate|
- {780F29C0-3C0E-4087-8168-185339227BC1} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\IKeeper
\ikeeperupdate.exe|Name=IKeeperUpdate|
예전부터 광고 기능을 필수적으로 포함하여 설치되는 통합코덱, 유해 사이트 차단 프로그램이 발견되고 있으며, 설치 과정에서 사용자들이 이용약관을 제대로 확인하지 않고 설치하여 인터넷 검색시 원치 않는 광고가 노출되는 불편을 겪는 것으로 보이므로 주의하시기 바랍니다.
☞ <Right Security Blog> 검색 도우미 : 에브리툴바(EveryToolbar) (2011.3.11)
☞ 하우코덱(HowCodec) 설치로 인한 연관 추천 태그 광고 팝업창 주의 (2011.3.18)
☞ 멀티코덱(MultiCodec) 설치로 인한 [연관 추천 태그] 팝업창 생성 주의 (2011.3.20)
☞ 검색 도우미 : 마이폴더서치바(MyFolderSearchbar) (2011.4.22)
☞ G코덱 설치로 인한 오픈탭(OpenTab) 광고 주의 (2011.11.7)
☞ 검색 도우미 : 키워드탭(KeywordTab) (2011.11.15)
☞ 브이코덱(VCodec) 설치로 인한 멀티탭 광고 주의 (2011.12.16)
☞ <Right Security Blog> 코덱플러스(CodecPlus) 설치로 인한 광고 기능 주의 (2012.5.27)