본문 바로가기

벌새::Analysis

세이프키퍼(SafeKeeper) 유해 사이트 차단 프로그램을 이용한 "Internet SKPDevice" 광고 기능 주의

"세이프키퍼(SafeKeeper)"라는 유해 사이트 차단 프로그램을 설치하면서 필수 기능으로 포함된 광고 기능을 통해 인터넷 이용시 자동으로 광고창을 생성하는 "Internet SKPDevice" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 배포용 파일(MD5 : 3f28e9f1a9383c5b808b4d3a9b245863)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.421328 (VT : 18/49) 진단명으로 진단되고 있습니다.

프로그램 설치가 진행되면 특정 서버로부터 세이프키퍼(SafeKeeper) 설치 파일<MD5 : 51c09b66688741e1232f09481becb175 - avast! : Win32:Adware-AZC [Adw] (VT : 22/47)>을 다운로드하여 "C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe" 파일로 생성한 후 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Internet SKPDevice
C:\Program Files\Internet SKPDevice\category.dt
C:\Program Files\Internet SKPDevice\dsk.dat
C:\Program Files\Internet SKPDevice\nhopen.dll
C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe
C:\Program Files\Internet SKPDevice\skcert.exe
C:\Program Files\Internet SKPDevice\skchk.exe
C:\Program Files\Internet SKPDevice\skcomlib.dll
C:\Program Files\Internet SKPDevice\skctr.exe :: 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skgen.exe :: 서비스(Internet SKPDevice) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skpns.exe :: 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skpot.exe :: 예약 작업(skpot) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Internet SKPDevice\skrmv.exe :: 프로그램 삭제 파일
C:\Program Files\Internet SKPDevice\sktool.exe :: 세이프키퍼(SafeKeeper) 프로그램 설정 파일
C:\Program Files\Internet SKPDevice\sktslib.dll
C:\Program Files\Internet SKPDevice\stdata.dat
C:\Program Files\Internet SKPDevice\stdata2.dat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config\Setting.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SafeKeeper Config
C:\Windows\System32\Tasks\skpot

 

[생성 파일 진단 정보]

 

C:\Program Files\Internet SKPDevice\nhopen.dll
 - MD5 : 57c54f3fd6b7134128e6ff7858f4aba1
 - nProtect : Adware/W32.KrAdword.1412056 (VT : 7/49)

 

C:\Program Files\Internet SKPDevice\SafeKeeperSetupVer1.0.0.1.exe
 - MD5 : 51c09b66688741e1232f09481becb175
 - avast! : Win32:Adware-AZC [Adw] (VT : 22/47)

 

C:\Program Files\Internet SKPDevice\skcert.exe
 - MD5 : 04e005e1334095b9bade458236ac1d74
 - AhnLab V3 : PUP/Win32.MagicCare (VT : 9/49)

 

C:\Program Files\Internet SKPDevice\skchk.exe
 - MD5 : b71a008c26345a2df486120d68380596
 - avast! : Win32:Adware-AZC [Adw] (VT : 6/49)

 

C:\Program Files\Internet SKPDevice\skctr.exe
 - MD5 : bb14d15926e8c446bfa10a368fa99961
 - avast! : Win32:Adware-AZC [Adw] (VT : 6/49)

 

C:\Program Files\Internet SKPDevice\skgen.exe
 - MD5 : e85bbd5cd74abc40fd80f2b124edac64
 - ESET : a variant of Win32/AdWare.Kraddare.IP (VT : 18/49)

 

C:\Program Files\Internet SKPDevice\skpns.exe
 - MD5 : b276b6ab368fc8963dda775964ef884a
 - nProtect : Adware/W32.Agent.208856 (VT : 26/49)

 

C:\Program Files\Internet SKPDevice\skpot.exe
 - MD5 : 32e00fb714842dc5a6ebbe66a4091906
 - AhnLab V3 : PUP/Win32.Adgod (VT : 20/49)

 

C:\Program Files\Internet SKPDevice\sktslib.dll
 - MD5 : 31ea37d77adce51921378c5e8359af74
 - AhnLab V3 : PUP/Win32.HubHelper (VT : 12/49)

해당 프로그램은 "C:\Program Files\Internet SKPDevice" 폴더에 파일을 생성하며, 기본적으로 유해 사이트(성인 사이트, 도박 사이트) 차단 기능이 활성화된 상태로 설치가 이루어집니다.

프로그램 목록의 "SafeKeeper Config → Setting" 메뉴를 실행하면 "C:\Program Files\Internet SKPDevice\sktool.exe" 파일을 실행하여, 세이프키퍼(SafeKeeper) 프로그램의 메인 화면이 생성되며 성인 사이트 및 도박 사이트 차단 기능이 동작하는 것을 확인할 수 있습니다.

 

하지만 세이프키퍼(SafeKeeper) 프로그램은 유해 사이트 차단 기능보다는 프로그램 설치로 인하여 다음과 같은 광고 기능이 필수적으로 포함되어 있습니다.

 

1. "SKeeperDevice Service" 서비스 등록을 통한 실행 및 광고 동작

해당 프로그램은 "SKeeperDevice Service" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Internet SKPDevice\skgen.exe" 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 "C:\Program Files\Internet SKPDevice\skcert.exe" 파일을 추가적으로 로딩합니다.

 

자동 실행된 skcert.exe 파일은 특정 서버로부터 다음과 같은 값을 체크하도록 되어 있습니다.

  • C:\Windows\System32\skdskdn.dat :: 프로그램 버전 체크
  • C:\Windows\System32\sksdt.html :: 이용약관 체크

이후 "C:\Program Files\Internet SKPDevice\skctr.exe" 파일을 로딩한 후 skcert.exe 프로세스는 종료 처리가 이루어지며, 로딩된 skctr.exe 파일은 ["C:\Program Files\Internet SKPDevice\skpns.exe" -i divinemedia dnas25] 파일을 자식 프로세스로 로딩하여 메모리에 상주합니다.

실행된 skpns.exe 프로세스는 주기적으로 Windows NAS 광고 업데이트 서버에 연결을 시도하는 동작을 수행합니다.

이렇게 실행된 프로그램은 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 전체 화면 크기의 광고창을 생성할 수 있습니다.

대표적으로 생성되는 광고창은 "cl.ncclick.co.kr" 제휴 코드가 포함된 형태로 연결이 이루어지고 있습니다.

 

2. skpot 예약 작업 등록을 통한 실행 및 광고 동작

해당 프로그램은 시스템 시작시 예약 작업에 skpot 작업 스케줄러를 등록하여 "C:\Program Files\Internet SKPDevice\skpot.exe" 파일을 자동 실행되도록 하여 메모리에 상주시킵니다.

이를 통해 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 자동으로 광고창을 생성하는 동작을 확인할 수 있습니다.

해당 광고창 생성시 대표적으로 오픈매치(OpenMatch) 또는 오픈팟(OpenPot) 광고 서버를 경유하여 연결이 이루어지고 있습니다.

 

3. 프로그램 삭제 방법

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "SKeeperDevice Service"] 명령어를 입력 및 실행하여 서비스 프로세스(skgen.exe)를 자동으로 종료할 수 있습니다.

(b) Windows 작업 관리자를 실행하여 skctr.exe, skpns.exe, skpot.exe 프로세스를 찾아 종료하시기 바랍니다.

(c) 제어판에 등록된 "Internet SKPDevice" 삭제 항목을 실행하여 프로그램을 삭제할 수 있습니다.

삭제시 생성되는 "Program Uninstaller" 창의 "Password Confirm" 공란에는 좌측의 "Password"에 표시된 "숫자+영문"을 참고하여 입력한 후, "Agree to delete the program" 항목에 체크를 하시고 "Delete" 버튼을 클릭하시기 바랍니다.

 

(d) 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\Internet SKPDevice
  • C:\Program Files\Internet SKPDevice\skrmv.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SKeeperDevice Service
HKEY_CURRENT_USER\Software\safekeeper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SafeKeeper_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NAP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF811EBE-C3FE-4989-9185-1A13B4BF8828}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\skpot
HKEY_LOCAL_MACHINE\SOFTWARE\SafeKeeperSys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SKeeperDevice Service

 

"DivineMedia Inc." 디지털 서명이 포함된 세이프키퍼(SafeKeeper) 유해 사이트 차단 프로그램을 비롯하여 다양한 유사 프로그램이 광고 기능을 필수적으로 포함하여 인터넷 검색시 불편을 유발하고 있으므로 프로그램이 설치되지 않도록 주의하시기 바랍니다.