울지않는벌새 : Security, Movie & Society

검색 도우미 : Wordkey Reader

벌새::Analysis

웹 사이트 접속 및 검색 키워드 값을 특정 광고 서버로 전송하는 검색 도우미 "Wordkey Reader" 프로그램<SHA-1 : 1e2fd952f02241b840214ff0fbfb264986e605d8 - AhnLab V3 : PUP/Win32.Helper.R116576 (VT : 7/53)>에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 유사한 기능을 가진 searchup 광고 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\wkp.exe
C:\Users\(사용자 계정)\AppData\Roaming\wordkey
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\su
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wk_.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wk.dat
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkd.dat
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkfiles.dat
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkmon.exe :: 시작 프로그램(wkmon) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkp.exe :: 시작 프로그램(wordkey) 등록 파일, 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkq.dat

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wk_.exe
 - SHA-1 : 474dd279a41b454bbfff40e66ebac485878584bd
 - avast! : Win32:Malware-gen (VT : 5/53)

 

C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkmon.exe
 - SHA-1 : 27753c4706f70de924fb2155a8d0077bdd4ec82d
 - ESET : probably a variant of Win32/Adware.Winggo.AD (VT : 3/51)

 

C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkp.exe
 - SHA-1 : 762e436f2efaa967f62f3910dc81f4355a6312bf
 - ESET : a variant of Win32/Adware.WiseMop.A (VT : 7/54)

ADnet 디지털 서명이 포함된 "Wordkey Reader" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\wordkey" 폴더에 파일을 생성합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wordkey = "C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkp.exe" UPDATE

Windows 시작시 wordkey 시작 프로그램(Run) 등록값 등록을 통해 ["C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkp.exe" UPDATE] 파일을 자동 실행하여 특정 서버로부터 업데이트 정보를 체크하여 관련 파일을 다운로드할 수 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - wkmon = "C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkmon.exe" AXX

또한 wkmon 시작 프로그램(RunOnce) 등록값을 통해 광고 기능을 수행하는 ["C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkmon.exe" AXX] 파일을 자동 실행하도록 등록되어 있습니다.

이를 통해 wkmon.exe, wk_.exe 2개의 프로세스는 부모와 자식 프로세스로 묶여서 함께 메모리에 상주하게 되며, 각각의 프로세스는 프로세스 보호 기능을 통해 사용자의 의한 프로세스 종료를 방해합니다.

특히 메모리에 상주하는 "C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wk_.exe" 프로세스는 지속적으로 시작 프로그램 등록 레지스트리값(wordkey, wkmon)을 재생성하여 사용자에 의한 체크 해제 및 삭제를 방해합니다.

프로그램이 설치된 환경에서는 사용자가 웹 사이트 접속 및 인터넷 검색시 접속 URL 주소, 검색 키워드, 수행 시간 등의 정보를 "api.wordkey.co.kr" 광고 서버로 전송하며, 매칭되는 결과가 존재할 경우 다양한 광고창 생성 동작이 이루어질 수 있을 것으로 추정됩니다.

"Wordkey Reader" 광고 프로그램의 기능 중지 및 삭제를 위해서는 Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 wkmon.exe 프로세스를 선택하여 "프로세스 트리 끝내기" 메뉴를 실행할 경우 wk_.exe 프로세스와 함께 일괄 종료를 할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "Wordkey Reader" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Local\Temp\wkp.exe" 파일을 찾아 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft
 - SUp = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows
 - SUp = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
 - WinVer = (사용자 운영 체제 종류)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wordkey = "C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkp.exe" UPDATE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - wkmon = "C:\Users\(사용자 계정)\AppData\Roaming\wordkey\wkmon.exe" AXX
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
Wordkey Reader
HKEY_CURRENT_USER\Software\wordkey

 

"Wordkey Reader" 프로그램의 이름으로는 광고 기능을 수행하는 것으로 확인하기 매우 어려우며, 프로그램의 기능을 사용자가 중지하지 못하게 다양한 보호 기능으로 불편을 유발하고 있으므로 설치되지 않도록 주의하시기 바랍니다.