울지않는벌새 : Security, Movie & Society

검색 도우미 : KeyPang version 1.0 + kpupdate version 1.0.0

벌새::Analysis

인터넷 검색시 광고창을 생성하는 검색 도우미 "KeyPang version 1.0 + kpupdate version 1.0.0" 프로그램<SHA-1 : 4e088c84ca67c5dcfa6172753a6aaa5da7475636 - AhnLab V3 : PUP/Win32.KeyPang (VT : 18/50)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : KeyPang version 1.0 + kpupdate version 1.0 (2011.7.16)

 

해당 프로그램은 2011년경부터 발견되고 있으며 업데이트를 통해 변종이 지속적으로 이루어지고 있는 것으로 판단됩니다.

배포 파일을 통해 설치가 진행되면 특정 서버로부터 "KeyPang version 1.0" 프로그램의 설치 파일<SHA-1 : d65cf60c621be30278380467ed4138a0bee6c1d6 - ESET : a variant of Win32/AdWare.Kraddare.JS (VT : 6/50)>을 다운로드하여 "C:\skeypang.exe" 파일로 생성한 후 "C:\Users\(사용자 계정)\AppData\Roaming\KeyPang" 폴더에 프로그램을 설치합니다.

또한 추가적으로 "kpupdate version 1.0.0" 프로그램의 설치 파일<SHA-1 : b1614817a0cc0e591748a068dbe847c1375056f6 - MSE : TrojanDownloader:Win32/VB.SW (VT : 14/50)>을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\skpupdate.exe" 파일로 생성한 후 "C:\Users\(사용자 계정)\AppData\Roaming\kpupdate" 폴더에 프로그램을 설치합니다.

 

1. "KeyPang version 1.0" 프로그램 정보

 

[생성 폴더 / 파일 등록 정보 : "KeyPang version 1.0" 프로그램]

 

C:\skeypang.exe
C:\Users\(사용자 계정)\AppData\Roaming\KeyPang
C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\fgo.exe
C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\keypang.exe :: 시작 프로그램(kp) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\move.exe
C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\rkp.exe
C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\unins000.exe :: KeyPang version 1.0 프로그램 삭제 파일

 

[생성 파일 진단 정보 : "KeyPang version 1.0" 프로그램]

 

C:\skeypang.exe
 - SHA-1 : d65cf60c621be30278380467ed4138a0bee6c1d6
 - ESET : a variant of Win32/AdWare.Kraddare.JS (VT : 6/50)

 

C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\fgo.exe
 - SHA-1 : 77a0d1a0cd6f957f28944264d1d33a1b52bf4e25
 - nProtect : Adware/W32.Agent.88632 (VT : 4/50)

 

C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\keypang.exe
 - SHA-1 : 1cc5ac2c1c755f30f8ea4cda3145882ea3d4c526
 - nProtect : Adware/W32.Agent.252472.B (VT : 5/50)

 

C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\move.exe
 - SHA-1 : 96a57a680e99b0994303d9b3fb73c6381882f7f8
 - nProtect : Adware/W32.Agent.80440 (VT : 4/48)

 

C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\rkp.exe
 - SHA-1 : 1bf31b24ba75e88c7899303c3f1fe2c0adc9f8de
 - nProtect : Adware/W32.Agent.84536 (VT : 3/50)

 

"AD79 Corp" 디지털 서명이 포함된 "KeyPang version 1.0" 프로그램은 Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\keypang.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행된 파일(keypang.exe)은 버전 및 광고 구성값을 체크한 후, 추가적으로 2개의 파일을 다운로드하여 다음과 같은 파일을 생성합니다.

 

[추가 생성 파일 및 진단 정보 : "KeyPang version 1.0" 프로그램]

 

C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\kp.exe :: 메모리 상주 프로세스
 - SHA-1 : cd0ea2b65f5ad02a0001d516dfee6d8a2b6b0261
 - nProtect : Adware/W32.KrAdword.76336 (VT : 1/50)

 

C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\kp_appa.dll
 - SHA-1 : 0156ff38174729fdeb331e092e04761af5f17045
 - AhnLab V3 : PUP/Win32.HubHelper (VT : 27/50)

추가 생성된 "C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\kp.exe" 파일은 keypang.exe 파일을 통해 로딩하여 메모리에 상주하여 오픈팟(OpenPot) 광고 구성값 정보를 체크합니다.

이렇게 설치된 "KeyPang version 1.0" 프로그램은 인터넷 검색 및 웹 사이트 접속 과정에서 자동으로 광고창을 생성하는 동작을 수행할 수 있습니다.

 

2. "kpupdate version 1.0.0" 프로그램 정보

 

[생성 파일 등록 정보 : "kpupdate version 1.0.0" 프로그램]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\skpupdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\kpupdate
C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\kpu.exe :: 시작 프로그램(kpu) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\kpupdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\MSCOMCTL.OCX
C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\ukp.exe
C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\unins000.exe :: kpupdate version 1.0.0 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\xProgressBar.ocx

 

[생성 파일 진단 정보 : "kpupdate version 1.0.0" 프로그램]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\skpupdate.exe
 - SHA-1 : b1614817a0cc0e591748a068dbe847c1375056f6
 - MSE : TrojanDownloader:Win32/VB.SW (VT : 14/50)

 

C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\kpu.exe
 - SHA-1 : 6d6dbd957fded93e1b2dcd6a2a584650a0f550d4
 - nProtect : Adware/W32.KrAdword.84544 (VT : 4/50)

 

C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\kpupdate.exe
 - SHA-1 : a208b6c3df4fcb5fa2aba48f0fc85370a016c25e
 - nProtect : Adware/W32.KrAdword.264768 (VT : 4/50)

 

C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\ukp.exe
 - SHA-1 : 3e70d0ad1565e0a9b4cff7d2435b8fea1b361cc1
 - nProtect : Adware/W32.KrAdword.84544.B (VT : 2/50)

"AD79 Corp" 디지털 서명이 포함된 "kpupdate version 1.0.0" 프로그램은 Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\kpu.exe" 파일을 시작 프로그램으로 등록하여 자동 실행합니다.

자동 실행된 파일(kpu.exe)은 특정 서버에서 사용자 Mac Address 값을 기반으로 KeyPang 관련 업데이트를 체크한 후 자동 종료 처리되며, 차후 "KeyPang version 1.0" 프로그램이 삭제된 경우 재설치가 이루어질 수 있을 것으로 추정됩니다.

출처 : 네이버 지식iN

이 과정에서 일부 설치 환경에서는 "kpu" 메시지 창을 통해 "어댑터 정보를 읽어오지 못했습니다. 알 수 없는 오류입니다. (0x000000E8)" 오류 메시지를 생성하여 인터넷 연결이 되지 않는다는 정보가 있으며, 해당 문제 해결을 위해서는 "kpupdate version 1.0.0" 프로그램을 삭제해야 할 것으로 판단됩니다.

 

3. 프로그램 삭제 정보

프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 "KeyPang version 1.0" 프로그램을 통해 광고창 생성을 수행하는 keypang.exe, kp.exe 2개의 프로세스를 찾아 종료하시기 바랍니다.

그 후 제어판에 등록된 "KeyPang version 1.0", "kpupdate version 1.0.0" 2개의 삭제 항목을 이용하여 프로그램을 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\skeypang.exe
  • C:\Users\(사용자 계정)\AppData\Local\Temp\skpupdate.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\KeyPang
  • C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\kp.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\kp_appa.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - kp = "C:\Users\(사용자 계정)\AppData\Roaming\KeyPang\keypang.exe"
 - kpu = "C:\Users\(사용자 계정)\AppData\Roaming\kpupdate\kpu.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{B9EB0882-79F8-4680-988C-D2317BA669F9}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{E793056C-F36C-4540-9C82-55EC34B978AE}_is1

 

"KeyPang version 1.0" 프로그램은 부가적으로 "kpupdate version 1.0.0" 프로그램이 함께 설치되며 인터넷 검색시 원치않는 광고창과 함께 특정 환경에서는 인터넷 연결이 안되는 문제도 발생하는 것으로 보이므로 설치되지 않도록 주의하시기 바랍니다.