울지않는벌새 : Security, Movie & Society

검색 도우미 : SignKey - signkeyexb.exe (2015.3.27)

벌새::Analysis

웹 브라우저 실행 및 종료, 인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 자동으로 생성하여 불편을 유발하는 국내에서 제작된 SignKey 광고 프로그램<SHA-1 : e9990714873857cc79179d01c50aebf81bd68143 - AhnLab V3 365 Clinic : PUP/Win32.SearchKeys.R82337 (VT : 32/57)>이 확인되어 살펴보도록 하겠습니다.

SignKey 광고 프로그램은 2012년 하반기에 최초 발견되어 지금까지 다양한 변종이 발견되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\signkey
C:\Users\(사용자 계정)\AppData\Local\signkey\signkey.exe :: 시작 프로그램(signkey) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\signkey\signkeyexa.exe
C:\Users\(사용자 계정)\AppData\Local\signkey\signkeyexb.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\signkey\skun.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\signkey\ts5.dll

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\signkey\signkey.exe
 - SHA-1 : 1d3d1109f3863ff887ffc09723269a65f33f56fb
 - avast! : Win32:Hupigon-WO [Trj] (VT : 32/57)

 

C:\Users\(사용자 계정)\AppData\Local\signkey\signkeyexa.exe
 - SHA-1 : 63bb6a9e303d3a43175ea9ff33bf594519a2949b
 - Hauri ViRobot : Adware.Signkey.1084896[h] (VT : 38/56)

 

C:\Users\(사용자 계정)\AppData\Local\signkey\signkeyexb.exe
 - SHA-1 : b0d9e4927ed3db55d7461927e825d59b7da5757f
 - AhnLab V3 365 Clinic : PUP/Win32.SignKey.R138014 (VT : 30/56)

 

C:\Users\(사용자 계정)\AppData\Local\signkey\skun.exe
 - SHA-1 : 4be54ddc33a8e6faecc1bb86b94d1be95eccd115
 - avast! : Win32:Adware-BCF [Adw] (VT : 27/56)

 

C:\Users\(사용자 계정)\AppData\Local\signkey\ts5.dll
 - SHA-1 : 0d4f39564f9fa4d3e414cddd425a47ce3df9d6e3
 - AhnLab V3 365 Clinic : PUP/Win32.HubHelper.R91762 (VT : 28/57)

"JAMIcommunication Co.,Ltd" 디지털 서명이 포함된 해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Local\signkey" 폴더에 파일을 생성합니다.

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\signkey\signkey.exe" 파일을 시작 프로그램(signkey)으로 등록하여 자동 실행되어 1분 30초를 대기한 후 특정 서버와 통신하여 업데이트 체크를 수행합니다.

 

이후 "C:\Windows\System32\cmd.exe" 시스템 파일을 이용하여 "C:\Users\(사용자 계정)\AppData\Local\signkey\signkeyexb.exe" 파일을 로딩하여 메모리에 상주시킵니다.

자동 실행되어 광고 기능을 수행하는 signkeyexb.exe 파일은 자신의 리소스 영역에 압축 패킹한 광고 모듈을 "C:\Users\(사용자 계정)\AppData\Local\signkey\ts5.dll" 파일로 생성하여 로딩합니다.

또한 광고 기능을 수행하는 signkeyexb.exe 파일은 프로세스를 체크하여 PC방 관리 솔루션(picatoolsMgr.exe, getotb.exe, WmCounter.exe, qaagent.exe, gchartc.exe, gamedcup.exe, PCWC.exe, PCWC_Ag.exe, gtiexp.exe, gcrawl.exe, pmclientsetup.exe, ptclient.exe, PicaClient32.exe, PicaClient64.exe, picatoolsClient1.5.exe, picatoolsClientSe7en.exe, gtlexp.exe)이 존재할 경우 동작을 중지합니다.

SignKey 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저 실행 및 종료시 "추천 바로보기(ad.syndiapi.com)"와 같은 다양한 광고창을 자동으로 생성할 수 있습니다.

또한 특정 검색 키워드 값을 이용한 인터넷 검색을 통한 웹 사이트 접속시 다수의 광고창을 자동으로 생성하여 사용자에게 불편을 유발할 수 있습니다.

 

SignKey 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 signkeyexb.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 signkey 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - signkey = C:\Users\(사용자 계정)\AppData\Local\signkey\signkey.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\signkey
HKEY_CURRENT_USER\Software\signkey

 

SignKey 광고 프로그램은 백신 또는 사용자가 일부 파일만을 제거한 경우 부팅시마다 업데이트 기능을 통해 재설치를 진행할 수 있으며, 광고 프로그램 설치로 인해 인터넷 이용시 다수의 광고창이 생성되어 심각한 불편을 유발하므로 설치되지 않도록 주의하시기 바랍니다.