울지않는벌새 : Security, Movie & Society

폴더 숨김 기능을 제공하는 폴더킵(FolderKeep) 삭제 방법 (2014.4.1)

벌새::Analysis

2014년 3월초경 다양한 광고 프로그램을 배포하는 경로를 통해 폴더 숨김 기능을 제공하는 폴더킵(FolderKeep) 프로그램(SHA-1 : 97232030581a5f0e0ad1e11302735432f4532e02)이 배포되었던 것으로 확인되고 있습니다.

 

해당 프로그램이 설치된 환경에서는 사용자가 숨김(H) 속성을 가지는 폴더 및 파일에 접근할 수 없도록 설정을 변경하여 PC 사용에 심각한 불편을 유발하고 있으며, 프로그램 삭제 이후에도 업데이트 기능을 삭제하지 않는 문제가 발견되고 있으므로 설치 및 삭제 정보를 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\FolderKeep
C:\Program Files\FolderKeep\FolderKeep.exe :: 프로그램 실행 파일
C:\Program Files\FolderKeep\FolderKeepUninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\FolderKeep
C:\Users\(사용자 계정)\AppData\Roaming\FolderKeep\FolderKeepAgent.exe :: 예약 작업(FolderKeep) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\Desktop\FolderKeep.lnk
C:\Windows\System32\Tasks\FolderKeep

 

"adcore" 디지털 서명이 포함된 폴더킵(FolderKeep) 프로그램은 "C:\Program Files\FolderKeep", "C:\Users\(사용자 계정)\AppData\Roaming\FolderKeep" 2개의 폴더를 생성하여 프로그램을 설치합니다.

프로그램이 설치된 후에는 비밀번호 및 이메일 정보를 설정하는 창이 생성되도록 구성되어 있으며, 해당 정보는 "HKEY_CURRENT_USER\Software\FolderKeep\Config" 레지스트리 하위값에 저장이 됩니다.

해당 프로그램은 예약 작업에 "FolderKeep" 작업 스케줄러 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\FolderKeep\FolderKeepAgent.exe" 파일(SHA-1 : b4554303b5758508e4fd05d6a01eaba29d4048d2)을 자동 실행되도록 구성되어 있습니다.

이를 통해 특정 서버에 설치 카운터(Counter) 정보와 업데이트 설정값을 체크한 후 메모리에 상주합니다.

폴더킵(FolderKeep) 프로그램은 암호화된 비밀번호를 기반으로 사용자가 원하는 특정 폴더를 숨길 수 있는 기능을 제공하는 정상적인 무료 프로그램입니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
 - Hidden = 2 :: 변경 후(기본값)

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden
 - Type = group :: 변경 전
 - Type = (공란) :: 변경 후

그런데 폴더킵(FolderKeep) 프로그램의 기능을 구현할 목적으로 사용자가 프로그램을 통해 숨긴 폴더를 찾을 수 없도록 레지스트리 값을 수정하여 폴더 옵션의 "숨김 파일 및 폴더" 항목을 제거해 버리는 문제가 있습니다.

 

  폴더 옵션의 "숨김 파일 및 폴더" 복원 방법 (2012.11.3)

 

해당 방법은 과거 악성코드에 감염될 경우 사용자가 악성 파일을 발견하지 못하도록 할 목적으로 "숨김 파일 및 폴더"를 숨기는 방식과 일치합니다.

 

이러한 문제로 인하여 폴더킵(FolderKeep) 프로그램이 설치된 환경에서는 사용자가 Windows 탐색기를 통해 숨김(H) 속성값을 가지는 폴더 및 파일에 접근할 수 없는 문제가 발생하는 치명적인 단점이 발생할 수 있습니다.

 

그러므로 정상적인 Windows 설정값으로 복원하기 위해서는 폴더킵(FolderKeep) 프로그램을 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 FolderKeepAgent.exe 프로세스를 찾아 종료하시기 바라며, 만약 폴더킵(FolderKeep) 프로그램이 실행 중이라면 FolderKeep.exe 프로세스를 함께 종료하시기 바랍니다.

(b) 제어판에 등록된 "Windows FolderKeep" 삭제 항목을 찾아 프로그램 삭제를 진행하시기 바랍니다.

참고로 "Windows FolderKeep" 삭제 항목을 통해 프로그램 삭제시 다음과 같은 정보를 요청하므로 주의하시기 바랍니다.

프로그램 삭제시 "FolderKeep Uninstall" 창을 생성하여 프로그램 설치 후 사용자가 입력한 비밀번호를 묻는 창이 생성됩니다.

 

만약 비밀번호가 기억나지 않는 사용자는 입력란 옆에 위치한 물음표(?)를 클릭하여 이메일을 통해 인증번호를 받으시기 바라며, 그것도 싫으신 분들은 제어판을 통한 삭제가 아닌 "생성 폴더 / 파일 등록 정보", "생성 / 변경 레지스트리 등록 정보" 를 참고하여 직접 삭제를 진행하시기 바랍니다.

참고로 이메일과 비밀번호 정보는 "HKEY_CURRENT_USER\Software\FolderKeep\Config" 레지스트리 하위값에 저장되어 있으며, 비밀번호(Password)는 Base64 암호화 처리되어 있으므로 디코딩을 통해 확인하시기 바랍니다.

다음 단계에서는 비밀번호를 정상적으로 입력한 경우 폴더킵(FolderKeep) 프로그램을 통해 숨김 폴더를 해제할지 삭제할지 묻는 창이 생성되므로 "기존 숨김으로 설정한 폴더 숨김 해제" 항목(기본값)에 체크하여 삭제를 진행하시기 바랍니다.

제어판을 통해 정상적으로 폴더킵(FolderKeep) 프로그램을 삭제한 후에는 폴더 옵션의 "숨김 파일 및 폴더" 항목이 정상적으로 표시가 되는 것을 확인할 수 있으며, 추가적으로 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크하시고 삭제되지 않은 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\FolderKeep
  • C:\Users\(사용자 계정)\AppData\Roaming\FolderKeep\FolderKeepAgent.exe
  • C:\Windows\System32\Tasks\FolderKeep

특히 프로그램 삭제 이후에도 작업 스케줄러에 등록된 "C:\Users\(사용자 계정)\AppData\Roaming\FolderKeep\FolderKeepAgent.exe" 파일을 시스템 시작시마다 지속적으로 동작하여 메모리에 상주하게 됩니다.

만약 프로그램 삭제 이후에도 삭제되지 않은 관련 파일을 삭제하지 않은 경우 "FolderKeep Update" 기능을 통해 프로그램이 재설치 유도 행위가 이루어질 수 있을 것으로 추정됩니다.

 

[생성 / 변경 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\FolderKeep
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced
 - Hidden = 2 :: 변경 후(기본값)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\폴더숨기기(FolderKeep)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden
 - Type = group :: 변경 전
 - Type = (공란) :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
FolderKeep
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{47FD78A5-9D7C-496A-98E9-9F95A9A6A404}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FolderKeep

 

※ 레지스트리 편집기(regedit)를 통해 "변경 후" 값은 "변경 전"으로 수정하시기 바랍니다.

 

폴더킵(FolderKeep) 프로그램은 현재로서는 폴더 숨김 기능을 통해 데이터를 보호하는 기능을 제공하는 정상적인 프로그램이지만, 프로그램 설치로 인한 숨김(H) 폴더 및 파일을 볼 수 없는 문제, 저품질 보호 기술, 프로그램 삭제 이후에도 업데이트 체크 기능을 남기는 문제는 개인적으로 권장할 프로그램은 아닌 것 같습니다.