울지않는벌새 : Security, Movie & Society

다수의 웹 사이트 연결을 시도하는 "Windows Keymoa Patch Drivers" 광고 프로그램 주의 (2014.8.4)

벌새::Analysis

바탕 화면과 즐겨찾기에 웹하드 바로가기 아이콘을 생성하는 기능을 가진 "Windows Keymoa Patch Drivers" 광고 프로그램<SHA-1 : 02a8b1a0780db83cfb85cae0f500b466e018a30e - AhnLab V3 : PUP/Win32.SearchKey.R93881 (VT : 9/53)>을 이용하여 추가적인 파일 다운로드를 통해 백그라운드 방식으로 다수의 웹 사이트 연결을 통해 인터넷 속도를 저하시키는 사례에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존부터 유사한 기능을 가진 다양한 이름의 광고 프로그램이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\szlink
C:\Program Files\szlink\szlink.exe :: 시작 프로그램 등록 파일
C:\Program Files\szlink\uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\szlink\szlink.exe
 - SHA-1 : 091a8660c4d10a4ebb1af9d561dddbf627b3f0dd
 - AhnLab V3 : PUP/Win32.SearchKey (VT : 6/53)

 

C:\Program Files\szlink\uninstall.exe
 - SHA-1 : 17b53eb8183bc96aed4c6fbf211d2d8242fcb135
 - AhnLab V3 : PUP/Win32.SearchKey (VT : 3/54)

"Windows Keymoa Patch Drivers" 프로그램은 "C:\Program Files\szlink" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\szlink\szlink.exe" startup] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(szlink.exe)은 특정 서버에서 구성값 정보를 체크하며, 2종의 국내 웹하드 바로가기 아이콘(파일조 - 원하는 모든것!!, 최신영화 - 오디스크)을 바탕 화면과 즐겨찾기에 등록할 수 있지만 실제로는 생성되지 않고 있습니다.

참고로 해당 바로가기 아이콘 생성 구성값 정보는 기존의 "Windows Basic Free WinShop" 광고 프로그램에서 확인된 Freeshop과 동일하므로 참고하시기 바랍니다.

  • h**p://key***.com/en/lmss.exe (SHA-1 : c0454872983d29f1d4bb0b8d35d2f4b9e1bf5574) - BitDefender : Trojan.GenericKD.1789357 (VT : 5/54)

대신 특정 서버로부터 추가적인 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\lmss.exe" 파일로 생성하여 자동 실행됩니다.

자동 실행된 lmss.exe 파일은 백그라운드 방식으로 특정 광고 검색 서버에 검색 키워드 값을 전송하여 인터넷 검색을 자동으로 수행하며, 약 20분 이상의 시간 동안 다수의 웹 서버에 연결하여 불필요한 트래픽 유발이 이루어지고 있습니다.

자동으로 웹 서버 연결 동작을 수행하는 기능을 중지하기 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 lmss.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Windows Keymoa Patch Drivers" 삭제 항목을 이용하여 프로그램을 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 파일을 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\Temp\lmss.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\szlink
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - szlink = "C:\Program Files\szlink\szlink.exe" startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\szlink

 

"Windows Keymoa Patch Drivers" 광고 프로그램이 설치된 환경에서는 화면 상으로는 인터넷 검색 동작이 표시되지 않지만 백그라운드 방식으로 지속적인 웹 서버 연결을 통해 광고 목적을 수행하여 과도한 트래픽 유발을 통한 인터넷 속도 저하 등의 문제를 유발할 수 있으므로 주의하시기 바랍니다.