본문 바로가기

벌새::Analysis

검색 도우미 : visual allkeytab plugin Ver 1.0.3

반응형

시스템 시작시 구글 애드센스(Google AdSense) 광고 팝업창을 생성하며, 업데이트 창 생성을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 "visual allkeytab plugin Ver 1.0.3" 광고 프로그램<SHA-1 : f7c3bb034b4da4e3fa83b639627b5e2481171f14 - AhnLab V3 365 Clinic : PUP/Win32.AllKeyTab.C740540 (VT : 5/57)>에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존에 유사성이 강한 광고 프로그램이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\allkeytab
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\AllKT.exe :: 메모리 상주 프로세스(실행 후 2분)
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe :: 서비스(allkts) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allktup.exe
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe
 - SHA-1 : 88128ef71903b432de95ec7e684ff7c99b268fb6
 - avast! : Win32:Malware-gen (VT : 2/57)

"visual allkeytab plugin Ver 1.0.3" 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab" 폴더에 파일을 생성합니다.

"allkts (표시 이름 : AllKeyTab Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe" 파일을 자동 실행하여 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\AllKT.exe" 파일(SHA-1 : 3b05757d59e55a52a7ba97f66ce3e4623db54e5c)을 로딩하여 메모리에 상주시킵니다.

이 과정에서 프로그램 버전 체크를 통해 구버전인 경우 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allktup.exe" 파일(SHA-1 : 19c5f66331707978d77e7336242866c5a69441f1) 로딩을 통해 "정규 업데이트 내용" 업데이트 창을 생성할 수 있습니다.

생성된 업데이트 창에서는 프로그램 업데이트 이외에 추가적인 제휴 프로그램 정보가 포함되어 있는 경우 설치를 유도할 수 있으므로 주의하시기 바랍니다.

실행된 "visual allkeytab plugin Ver 1.0.3" 광고 프로그램은 기본적으로 바탕 화면 및 시스템 트레이 알림 아이콘 상단에 구글 애드센스(Google AdSense) 광고 팝업창을 생성할 수 있습니다.

또한 특정 서버에서 받아온 광고 관련 웹 서버를 참조하여 자동으로 광고창을 오픈할 수 있으며, 특히 검색 포털로 제작된 다수의 웹 서버에 다양한 검색 키워드 값을 기반으로 백그라운드 검색이 이루어질 수 있을 것으로 추정됩니다.

실제 자동으로 생성되는 광고창은 제휴 코드가 포함된 웹 사이트 접속 행위 및 구글 애드센스(Google AdSense) 노출을 목적으로 제작된 웹 사이트 오픈이 이루어지는 것을 확인할 수 있습니다.

또한 추가적인 광고 행위 중에서는 네이버(Naver) 검색 엔진에 특정 검색 키워드를 이용한 검색 활동이 백그라운드 방식으로 진행될 수 있을 것으로 추정됩니다.

위와 같은 일련의 광고 행위는 최초 "visual allkeytab plugin Ver 1.0.3" 광고 프로그램이 실행된 후 2분 내에 이루어질 수 있으며 이후에는 메모리에 상주하는 AllKT.exe 프로세스가 자동으로 종료 처리됩니다.

 

"visual allkeytab plugin Ver 1.0.3" 광고 프로그램 삭제 방법

프로그램 삭제는 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "visual allkeytab plugin Ver 1.0.3" 삭제 항목을 이용하여 제거할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\allkts
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\allkt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
AllKeyTab
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\allkts

 

"visual allkeytab plugin Ver 1.0.3" 광고 프로그램은 Windows 시작 후 사용자가 실제 접속하지 않는 다양한 웹 사이트를 백그라운드로 접속하며 차후 업데이트 창을 통해 또 다른 광고 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

728x90
반응형