본문 바로가기

벌새::Analysis

세이프키퍼(SafeKeeper) 유해 사이트 차단 프로그램을 이용한 "Internet SKPDevice" 광고 기능 주의

반응형

"세이프키퍼(SafeKeeper)"라는 유해 사이트 차단 프로그램을 설치하면서 필수 기능으로 포함된 광고 기능을 통해 인터넷 이용시 자동으로 광고창을 생성하는 "Internet SKPDevice" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 배포용 파일(MD5 : 3f28e9f1a9383c5b808b4d3a9b245863)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.421328 (VT : 18/49) 진단명으로 진단되고 있습니다.

프로그램 설치가 진행되면 특정 서버로부터 세이프키퍼(SafeKeeper) 설치 파일<MD5 : 51c09b66688741e1232f09481becb175 - avast! : Win32:Adware-AZC [Adw] (VT : 22/47)>을 다운로드하여 "C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe" 파일로 생성한 후 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Internet SKPDevice
C:\Program Files\Internet SKPDevice\category.dt
C:\Program Files\Internet SKPDevice\dsk.dat
C:\Program Files\Internet SKPDevice\nhopen.dll
C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe
C:\Program Files\Internet SKPDevice\skcert.exe
C:\Program Files\Internet SKPDevice\skchk.exe
C:\Program Files\Internet SKPDevice\skcomlib.dll
C:\Program Files\Internet SKPDevice\skctr.exe :: 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skgen.exe :: 서비스(Internet SKPDevice) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skpns.exe :: 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skpot.exe :: 예약 작업(skpot) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skrmv.exe :: 프로그램 삭제 파일
C:\Program Files\Internet SKPDevice\sktool.exe :: 세이프키퍼(SafeKeeper) 프로그램 설정 파일
C:\Program Files\Internet SKPDevice\sktslib.dll
C:\Program Files\Internet SKPDevice\stdata.dat
C:\Program Files\Internet SKPDevice\stdata2.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config\Setting.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config
C:\Windows\System32\Tasks\skpot

 

[생성 파일 진단 정보]

 

C:\Program Files\Internet SKPDevice\nhopen.dll
 - MD5 : 57c54f3fd6b7134128e6ff7858f4aba1
 - nProtect : Adware/W32.KrAdword.1412056 (VT : 7/49)

 

C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe
 - MD5 : 51c09b66688741e1232f09481becb175
 - avast! : Win32:Adware-AZC [Adw] (VT : 22/47)

 

C:\Program Files\Internet SKPDevice\skcert.exe
 - MD5 : 04e005e1334095b9bade458236ac1d74
 - AhnLab V3 : PUP/Win32.MagicCare (VT : 9/49)

 

C:\Program Files\Internet SKPDevice\skchk.exe
 - MD5 : b71a008c26345a2df486120d68380596
 - avast! : Win32:Adware-AZC [Adw] (VT : 6/49)

 

C:\Program Files\Internet SKPDevice\skctr.exe
 - MD5 : bb14d15926e8c446bfa10a368fa99961
 - avast! : Win32:Adware-AZC [Adw] (VT : 6/49)

 

C:\Program Files\Internet SKPDevice\skgen.exe
 - MD5 : e85bbd5cd74abc40fd80f2b124edac64
 - ESET : a variant of Win32/AdWare.Kraddare.IP (VT : 18/49)

 

C:\Program Files\Internet SKPDevice\skpns.exe
 - MD5 : b276b6ab368fc8963dda775964ef884a
 - nProtect : Adware/W32.Agent.208856 (VT : 26/49)

 

C:\Program Files\Internet SKPDevice\skpot.exe
 - MD5 : 32e00fb714842dc5a6ebbe66a4091906
 - AhnLab V3 : PUP/Win32.Adgod (VT : 20/49)

 

C:\Program Files\Internet SKPDevice\sktslib.dll
 - MD5 : 31ea37d77adce51921378c5e8359af74
 - AhnLab V3 : PUP/Win32.HubHelper (VT : 12/49)

해당 프로그램은 "C:\Program Files\Internet SKPDevice" 폴더에 파일을 생성하며, 기본적으로 유해 사이트(성인 사이트, 도박 사이트) 차단 기능이 활성화된 상태로 설치가 이루어집니다.

프로그램 목록의 "SafeKeeper Config → Setting" 메뉴를 실행하면 "C:\Program Files\Internet SKPDevice\sktool.exe" 파일을 실행하여, 세이프키퍼(SafeKeeper) 프로그램의 메인 화면이 생성되며 성인 사이트 및 도박 사이트 차단 기능이 동작하는 것을 확인할 수 있습니다.

 

하지만 세이프키퍼(SafeKeeper) 프로그램은 유해 사이트 차단 기능보다는 프로그램 설치로 인하여 다음과 같은 광고 기능이 필수적으로 포함되어 있습니다.

 

1. "SKeeperDevice Service" 서비스 등록을 통한 실행 및 광고 동작

해당 프로그램은 "SKeeperDevice Service" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Internet SKPDevice\skgen.exe" 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 "C:\Program Files\Internet SKPDevice\skcert.exe" 파일을 추가적으로 로딩합니다.

 

자동 실행된 skcert.exe 파일은 특정 서버로부터 다음과 같은 값을 체크하도록 되어 있습니다.

  • C:\Windows\System32\skdskdn.dat :: 프로그램 버전 체크
  • C:\Windows\System32\sksdt.html :: 이용약관 체크

이후 "C:\Program Files\Internet SKPDevice\skctr.exe" 파일을 로딩한 후 skcert.exe 프로세스는 종료 처리가 이루어지며, 로딩된 skctr.exe 파일은 ["C:\Program Files\Internet SKPDevice\skpns.exe" -i divinemedia dnas25] 파일을 자식 프로세스로 로딩하여 메모리에 상주합니다.

실행된 skpns.exe 프로세스는 주기적으로 Windows NAS 광고 업데이트 서버에 연결을 시도하는 동작을 수행합니다.

이렇게 실행된 프로그램은 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 전체 화면 크기의 광고창을 생성할 수 있습니다.

대표적으로 생성되는 광고창은 "cl.ncclick.co.kr" 제휴 코드가 포함된 형태로 연결이 이루어지고 있습니다.

 

2. skpot 예약 작업 등록을 통한 실행 및 광고 동작

해당 프로그램은 시스템 시작시 예약 작업에 skpot 작업 스케줄러를 등록하여 "C:\Program Files\Internet SKPDevice\skpot.exe" 파일을 자동 실행되도록 하여 메모리에 상주시킵니다.

이를 통해 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 광고창을 생성하는 동작을 확인할 수 있습니다.

해당 광고창 생성시 대표적으로 오픈매치(OpenMatch) 또는 오픈팟(OpenPot) 광고 서버를 경유하여 연결이 이루어지고 있습니다.

 

3. 프로그램 삭제 방법

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "SKeeperDevice Service"] 명령어를 입력 및 실행하여 서비스 프로세스(skgen.exe)를 자동으로 종료할 수 있습니다.

(b) Windows 작업 관리자를 실행하여 skctr.exe, skpns.exe, skpot.exe 프로세스를 찾아 종료하시기 바랍니다.

(c) 제어판에 등록된 "Internet SKPDevice" 삭제 항목을 실행하여 프로그램을 삭제할 수 있습니다.

삭제시 생성되는 "Program Uninstaller" 창의 "Password Confirm" 공란에는 좌측의 "Password"에 표시된 "숫자+영문"을 참고하여 입력한 후, "Agree to delete the program" 항목에 체크를 하시고 "Delete" 버튼을 클릭하시기 바랍니다.

 

(d) 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\Internet SKPDevice
  • C:\Program Files\Internet SKPDevice\skrmv.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SKeeperDevice Service
HKEY_CURRENT_USER\Software\safekeeper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SafeKeeper_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NAP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF811EBE-C3FE-4989-9185-1A13B4BF8828}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\skpot
HKEY_LOCAL_MACHINE\SOFTWARE\SafeKeeperSys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SKeeperDevice Service

 

"DivineMedia Inc." 디지털 서명이 포함된 세이프키퍼(SafeKeeper) 유해 사이트 차단 프로그램을 비롯하여 다양한 유사 프로그램이 광고 기능을 필수적으로 포함하여 인터넷 검색시 불편을 유발하고 있으므로 프로그램이 설치되지 않도록 주의하시기 바랍니다.

 

 
728x90
반응형
  • 관리자명령에서 실패1062라고 뜨고 서비스가 시작되지 않았습니다 뜨는데 왜그런거죠?

    • 글에서는 서비스 파일(skgen.exe)이 실행된 경우를 가정하여 작성한 것이며, 사용자 PC에서는 아마 해당 서비스 파일이 실행되지 않고 있었던 것으로 보입니다.

      그러므로 해당 부분은 무시하시기 바랍니다.

  • 버니 2014.01.02 23:24 댓글주소 수정/삭제 댓글쓰기

    덕분에 프로그램을 삭제했습니다! 감사합니다^^

  • jkl 2014.01.04 21:00 댓글주소 수정/삭제 댓글쓰기

    프로그램추가/제거들어가서 삭제항목을 실행하라는건가요?

  • saa 2014.01.06 00:54 댓글주소 수정/삭제 댓글쓰기

    프로그램 삭제방법에서 a,b,d를 통해 삭제를 했는데도 광고창이 계속 뜹니다ㅠ 혹시 더 확인할것이 있나요??

  • 안녕하세요 2014.01.13 05:05 댓글주소 수정/삭제 댓글쓰기

    프로그램 추가제거에서
    제어판에 등록된 "Internet SKPDevice" 삭제 항목을 실행하여 프로그램을 삭제할 수 있습니다.

    저기의 단어로 쓰여진 프로그램이 없는데 어떻게 하죠??

    • 프로그램이 없다는 말은 무슨 말인지 이해가 안됩니다.

      제어판을 통해 삭제가 안될 경우에는 사용자가 생성 폴더(파일), 프로세스, 레지스트리 정보를 보면서 직접 삭제하실 수 밖에는 없습니다.

  • ㅇㅇㅇㅇ 2014.01.25 17:50 댓글주소 수정/삭제 댓글쓰기

    좋은정보감사합니다! 덕분에 삭제했어요 ㅎㅎㅎㅎㅎ

  • 세이프키퍼 2014.01.29 17:04 댓글주소 수정/삭제 댓글쓰기

    세이프키퍼는 어디서 다운받는건가요?

  • ㅇㅇ 2014.02.06 13:41 댓글주소 수정/삭제 댓글쓰기

    제가 이거 깔리고 나서 프로그램추가제거에서 모두 삭제후에 명령 프롬프트를 실행했더니 '지정된서비스가 설치된서비스로는 없습니다'가 뜹니다ㅠㅠ
    그리고 윈도우작업관리자에서 프로세스 중지하려구 해도 액세스가 거부되었다고 뜨고 마지막 C만성공했네요ㅜㅜ
    방법좀알려주세요ㅠㅠ

    • 서비스가 없다는 부분은 해당 프로그램 설치로 인해 생성된 파일 중 이미 백신을 통해 일부 파일이 제거된 상태이기 때문으로 판단됩니다.

      그러므로 강제로 폴더(파일), 레지스트리 값을 찾아 직접 삭제하시기 바랍니다.

  • 좋은정보 2014.02.08 12:52 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다~
    덕분에 제거 했어요!^^

  • qkfn 2014.05.23 00:42 댓글주소 수정/삭제 댓글쓰기

    System Int Professional 이거 제거해야되나요?

    • http://hummingbird.tistory.com/4803

      말씀하신 프로그램 역시 유해 사이트 차단 프로그램처럼 위장하여 광고창 생성 등의 불편을 유발하는 프로그램이므로 반드시 삭제하시기 바랍니다.