본문 바로가기

벌새::Analysis

검색 도우미 : Windows Open

인터넷 검색시 자동으로 광고창이 생성되는 검색 도우미 "Windows Open" 또는 "Windows OpenKeyword" 프로그램에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : 오픈키워드(OpenKeyword) (2011.12.21)

 

해당 프로그램은 기존의 오픈키워드(OpenKeyword)의 변형된 프로그램으로 확인되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\OpenKeyword
C:\Program Files\OpenKeyword\openkey.dll
C:\Program Files\OpenKeyword\OpenKeyword.exe :: 메모리 상주 프로세스
C:\Program Files\OpenKeyword\OpenKeywordAgent.exe :: 예약 작업(OKSTART) 등록 파일
C:\Program Files\OpenKeyword\uninst.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\OKSTART

 

[생성 파일 진단 정보]

 

C:\Program Files\OpenKeyword\openkey.dll
 - MD5 : 6e58e4fd76ab39398fb664dffce74daa
 - nProtect : Adware/W32.KrAdword.672256.D (VT : 1/47)

"Windows Open" 프로그램은 "C:\Program Files\OpenKeyword" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 수행합니다.

예약 작업에 "OKSTART" 작업 스케줄러를 등록하여 시스템 시작시 ["C:\Program Files\OpenKeyword\OpenKeywordAgent.exe" "/RUN"] 파일이 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 OpenKeywordAgent.exe 파일은 프로그램 업데이트 체크 후 "C:\Program Files\OpenKeyword\OpenKeyword.exe" 파일을 로딩하여 메모리에 상주시킵니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색 또는 웹 브라우저 창을 종료하는 시점에서 자동으로 광고창을 생성하는 동작을 확인할 수 있습니다.

 

이러한 광고 동작은 메모리에 상주하는 OpenKeyword.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 OpenKeyword.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Windows Open" 삭제 항목을 이용하여 삭제할 수 있습니다.(※ 변종에 따라서는 "Windows OpenKeyword"라는 이름으로 배포가 이루어지고 있는 것으로 확인되고 있습니다.)

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\OpenKeyword
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
OpenKeyword
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F142BB3F-6890-4FCE-BB60-66AA440EAF2E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OKSTART

 

"Windows Open" 검색 도우미 프로그램은 인터넷 검색마다 자동으로 광고창을 생성할 수 있는 문제로 사용자에게 불편을 유발할 수 있으므로 위와 같은 프로그램이 설치되지 않도록 주의하시기 바랍니다.