울지않는벌새 : Security, Movie & Society

세이프키퍼(SafeKeeper) 유해 사이트 차단 프로그램을 이용한 "Internet SKPDevice" 광고 기능 주의

벌새::Analysis

"세이프키퍼(SafeKeeper)"라는 유해 사이트 차단 프로그램을 설치하면서 필수 기능으로 포함된 광고 기능을 통해 인터넷 이용시 자동으로 광고창을 생성하는 "Internet SKPDevice" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 배포용 파일(MD5 : 3f28e9f1a9383c5b808b4d3a9b245863)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.421328 (VT : 18/49) 진단명으로 진단되고 있습니다.

프로그램 설치가 진행되면 특정 서버로부터 세이프키퍼(SafeKeeper) 설치 파일<MD5 : 51c09b66688741e1232f09481becb175 - avast! : Win32:Adware-AZC [Adw] (VT : 22/47)>을 다운로드하여 "C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe" 파일로 생성한 후 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Internet SKPDevice
C:\Program Files\Internet SKPDevice\category.dt
C:\Program Files\Internet SKPDevice\dsk.dat
C:\Program Files\Internet SKPDevice\nhopen.dll
C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe
C:\Program Files\Internet SKPDevice\skcert.exe
C:\Program Files\Internet SKPDevice\skchk.exe
C:\Program Files\Internet SKPDevice\skcomlib.dll
C:\Program Files\Internet SKPDevice\skctr.exe :: 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skgen.exe :: 서비스(Internet SKPDevice) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skpns.exe :: 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skpot.exe :: 예약 작업(skpot) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skrmv.exe :: 프로그램 삭제 파일
C:\Program Files\Internet SKPDevice\sktool.exe :: 세이프키퍼(SafeKeeper) 프로그램 설정 파일
C:\Program Files\Internet SKPDevice\sktslib.dll
C:\Program Files\Internet SKPDevice\stdata.dat
C:\Program Files\Internet SKPDevice\stdata2.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config\Setting.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config
C:\Windows\System32\Tasks\skpot

 

[생성 파일 진단 정보]

 

C:\Program Files\Internet SKPDevice\nhopen.dll
 - MD5 : 57c54f3fd6b7134128e6ff7858f4aba1
 - nProtect : Adware/W32.KrAdword.1412056 (VT : 7/49)

 

C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe
 - MD5 : 51c09b66688741e1232f09481becb175
 - avast! : Win32:Adware-AZC [Adw] (VT : 22/47)

 

C:\Program Files\Internet SKPDevice\skcert.exe
 - MD5 : 04e005e1334095b9bade458236ac1d74
 - AhnLab V3 : PUP/Win32.MagicCare (VT : 9/49)

 

C:\Program Files\Internet SKPDevice\skchk.exe
 - MD5 : b71a008c26345a2df486120d68380596
 - avast! : Win32:Adware-AZC [Adw] (VT : 6/49)

 

C:\Program Files\Internet SKPDevice\skctr.exe
 - MD5 : bb14d15926e8c446bfa10a368fa99961
 - avast! : Win32:Adware-AZC [Adw] (VT : 6/49)

 

C:\Program Files\Internet SKPDevice\skgen.exe
 - MD5 : e85bbd5cd74abc40fd80f2b124edac64
 - ESET : a variant of Win32/AdWare.Kraddare.IP (VT : 18/49)

 

C:\Program Files\Internet SKPDevice\skpns.exe
 - MD5 : b276b6ab368fc8963dda775964ef884a
 - nProtect : Adware/W32.Agent.208856 (VT : 26/49)

 

C:\Program Files\Internet SKPDevice\skpot.exe
 - MD5 : 32e00fb714842dc5a6ebbe66a4091906
 - AhnLab V3 : PUP/Win32.Adgod (VT : 20/49)

 

C:\Program Files\Internet SKPDevice\sktslib.dll
 - MD5 : 31ea37d77adce51921378c5e8359af74
 - AhnLab V3 : PUP/Win32.HubHelper (VT : 12/49)

해당 프로그램은 "C:\Program Files\Internet SKPDevice" 폴더에 파일을 생성하며, 기본적으로 유해 사이트(성인 사이트, 도박 사이트) 차단 기능이 활성화된 상태로 설치가 이루어집니다.

프로그램 목록의 "SafeKeeper Config → Setting" 메뉴를 실행하면 "C:\Program Files\Internet SKPDevice\sktool.exe" 파일을 실행하여, 세이프키퍼(SafeKeeper) 프로그램의 메인 화면이 생성되며 성인 사이트 및 도박 사이트 차단 기능이 동작하는 것을 확인할 수 있습니다.

 

하지만 세이프키퍼(SafeKeeper) 프로그램은 유해 사이트 차단 기능보다는 프로그램 설치로 인하여 다음과 같은 광고 기능이 필수적으로 포함되어 있습니다.

 

1. "SKeeperDevice Service" 서비스 등록을 통한 실행 및 광고 동작

해당 프로그램은 "SKeeperDevice Service" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Internet SKPDevice\skgen.exe" 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 "C:\Program Files\Internet SKPDevice\skcert.exe" 파일을 추가적으로 로딩합니다.

 

자동 실행된 skcert.exe 파일은 특정 서버로부터 다음과 같은 값을 체크하도록 되어 있습니다.

  • C:\Windows\System32\skdskdn.dat :: 프로그램 버전 체크
  • C:\Windows\System32\sksdt.html :: 이용약관 체크

이후 "C:\Program Files\Internet SKPDevice\skctr.exe" 파일을 로딩한 후 skcert.exe 프로세스는 종료 처리가 이루어지며, 로딩된 skctr.exe 파일은 ["C:\Program Files\Internet SKPDevice\skpns.exe" -i divinemedia dnas25] 파일을 자식 프로세스로 로딩하여 메모리에 상주합니다.

실행된 skpns.exe 프로세스는 주기적으로 Windows NAS 광고 업데이트 서버에 연결을 시도하는 동작을 수행합니다.

이렇게 실행된 프로그램은 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 전체 화면 크기의 광고창을 생성할 수 있습니다.

대표적으로 생성되는 광고창은 "cl.ncclick.co.kr" 제휴 코드가 포함된 형태로 연결이 이루어지고 있습니다.

 

2. skpot 예약 작업 등록을 통한 실행 및 광고 동작

해당 프로그램은 시스템 시작시 예약 작업에 skpot 작업 스케줄러를 등록하여 "C:\Program Files\Internet SKPDevice\skpot.exe" 파일을 자동 실행되도록 하여 메모리에 상주시킵니다.

이를 통해 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 광고창을 생성하는 동작을 확인할 수 있습니다.

해당 광고창 생성시 대표적으로 오픈매치(OpenMatch) 또는 오픈팟(OpenPot) 광고 서버를 경유하여 연결이 이루어지고 있습니다.

 

3. 프로그램 삭제 방법

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "SKeeperDevice Service"] 명령어를 입력 및 실행하여 서비스 프로세스(skgen.exe)를 자동으로 종료할 수 있습니다.

(b) Windows 작업 관리자를 실행하여 skctr.exe, skpns.exe, skpot.exe 프로세스를 찾아 종료하시기 바랍니다.

(c) 제어판에 등록된 "Internet SKPDevice" 삭제 항목을 실행하여 프로그램을 삭제할 수 있습니다.

삭제시 생성되는 "Program Uninstaller" 창의 "Password Confirm" 공란에는 좌측의 "Password"에 표시된 "숫자+영문"을 참고하여 입력한 후, "Agree to delete the program" 항목에 체크를 하시고 "Delete" 버튼을 클릭하시기 바랍니다.

 

(d) 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\Internet SKPDevice
  • C:\Program Files\Internet SKPDevice\skrmv.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SKeeperDevice Service
HKEY_CURRENT_USER\Software\safekeeper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SafeKeeper_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NAP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF811EBE-C3FE-4989-9185-1A13B4BF8828}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\skpot
HKEY_LOCAL_MACHINE\SOFTWARE\SafeKeeperSys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SKeeperDevice Service

 

"DivineMedia Inc." 디지털 서명이 포함된 세이프키퍼(SafeKeeper) 유해 사이트 차단 프로그램을 비롯하여 다양한 유사 프로그램이 광고 기능을 필수적으로 포함하여 인터넷 검색시 불편을 유발하고 있으므로 프로그램이 설치되지 않도록 주의하시기 바랍니다.