울지않는벌새 : Security, Movie & Society

검색 도우미 : PowerKey version 1.0.0 + pkupdate version 1.0.0

벌새::Analysis

인터넷 검색 및 웹 사이트 접속시 자동으로 광고창 및 OpenPot 광고탭을 생성하는 국내에서 제작된 "PowerKey version 1.0.0 + pkupdate version 1.0.0" 광고 프로그램에 대해 살펴보도록 하겠습니다.

2015년 2월 중순경부터 배포된 것으로 추정되는 PowerKey 광고 프로그램은 기존의 KeyPang, Shoplus 광고 프로그램의 변종이므로 참고하시기 바랍니다.

 

또한 배포 파일<SHA-1 : c3dafcb9fd49dfda17a6adec6434f75fc95bfb71 - AhnLab V3 365 Clinic : PUP/Win32.KeyPang.R50149 (VT : 25/55)>을 통해 설치가 진행될 경우 "PowerKey version 1.0.0", "pkupdate version 1.0.0" 프로그램이 자동으로 각각 설치되는 방식입니다.

 

1. "pkupdate version 1.0.0" 프로그램 정보

특정 서버에서 "pkupdate version 1.0.0" 프로그램의 설치 파일(pkupdate Setup)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\spkupdate.exe" 파일<SHA-1 : 9f579044461e849d03bdc0f255a0e8b1d61debca - avast! : Win32:Adware-gen [Adw] (VT : 24/54)>을 생성 및 실행하여 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\pkupdate
C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\MSCOMCTL.OCX
C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\pku.exe :: 시작 프로그램(pku) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\pkupdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\unins000.exe :: "pkupdate version 1.0.0" 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\upk.exe
C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\xProgressBar.ocx

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\pku.exe
 - SHA-1 : fafa4c62dd25381d796c956276763391e1adef6e
 - McAfee : VBObfus.ds (VT : 14/55)

 

C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\pkupdate.exe
 - SHA-1 : 4a46660d28f95b5eb287152b43326f3ef3303323
 - Panda : Generic Malware (VT : 4/55)

 

C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\upk.exe
 - SHA-1 : f5caa9417faf35f561383841f1031bfa8ad29131
 - BitDefender : Gen:Variant.Adware.Graftor.136218 (VT : 18/55)

"Good Ad Comms." 디지털 서명이 포함된 "pkupdate version 1.0.0" 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\pkupdate" 폴더에 파일을 생성합니다.

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\pku.exe" 파일을 시작 프로그램(pku)으로 등록하여 자동 실행되어 특정 서버에 사용자 Mac Address 값을 기반으로 PowerKey 광고 프로그램 업데이트 상태를 체크한 후 자동 종료 처리됩니다.

 

"pkupdate version 1.0.0" 프로그램 삭제 방법

제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "pkupdate version 1.0.0" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있으며, 프로그램 삭제 후 "C:\Users\(사용자 계정)\AppData\Local\Temp\spkupdate.exe" 파일을 찾아 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - pku = "C:\Users\(사용자 계정)\AppData\Roaming\pkupdate\pku.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{834B81AE-BA9C-48B3-9BDA-66E8198ED03B}_is1

 

2. "PowerKey version 1.0.0" 프로그램 정보

특정 서버에서 "PowerKey version 1.0.0" 광고 프로그램의 설치 파일(PowerKey Setup)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\spowerkey.exe" 파일<SHA-1 : 422234d257fe003147d89424c2e1aa59fa6c07ae - Avira : ADWARE/Kraddare.219928 (VT : 23/55)>을 생성 및 실행하여 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\PowerKey
C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\fpk.exe
C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\pmv.exe
C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\powerkey.exe :: 시작 프로그램(pk) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\unins000.exe :: "PowerKey version 1.0.0" 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\upk.exe

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\pmv.exe
 - SHA-1 : 3ef9d612058f814e2d4a404501b3b4cbc331fe7d
 - BitDefender : Gen:Variant.Adware.Graftor.136218 (VT : 12/55)

 

C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\powerkey.exe
 - SHA-1 : 67c9cb94a144a18b72b80e15574789a5b70dc89b
 - ESET : a variant of Win32/AdWare.Kraddare.JS (VT : 25/55)

 

C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\upk.exe
 - SHA-1 : 82e0893bf7a2644c306f97cf860ec6add88dcfb3
 - BitDefender : Gen:Variant.Adware.Graftor.136218 (VT : 9/55)

 

"Good Ad Comms." 디지털 서명이 포함된 "PowerKey version 1.0.0" 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\PowerKey" 폴더에 파일을 생성합니다.

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\powerkey.exe" 파일을 시작 프로그램(pk)으로 등록하여 자동 실행되어 광고 구성값 및 추가적인 구성 파일을 다운로드하여 다음과 같이 생성합니다.

 

[추가 생성 파일 및 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\pk.exe :: 메모리 상주 프로세스

 

C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\powerkey.dll
 - SHA-1 : 8318688d4ace8c5b41f834c84e09ccd209b79959
 - 알약(ALYac) : Trojan.Generic.12898357 (VT : 35/55)

이를 통해 시스템 시작시 자동 실행된 powerkey.exe 파일은 "C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\pk.exe" 파일(SHA-1 : 868d0b3bf2b97d78a4b6b8786840467d8c713ca8)을 추가 로딩하여 메모리에 상주시키며, pk.exe 파일을 powerkey.dll 광고 모듈을 로딩하여 다음과 같은 광고 행위를 수행할 수 있습니다.

예를 들어 네이버(Naver) 검색을 수행할 때마다 검색 키워드 값을 참조하여 "a1.**tens.co.kr" 광고 서버를 통해 11번가, G마켓, 옥션 광고창을 전체 화면 크기로 생성하여 사용자에게 심한 불편을 유발할 수 있습니다.

또한 특정 검색 키워드를 이용한 인터넷 검색시 새 탭 방식으로 흐릿한 이미지 파일로 표시되는 OpenPot 광고탭을 추가하여 사용자가 탭(Tab)을 클릭할 경우 광고 서버를 경유하여 다양한 사이트로 연결을 시도합니다.

위와 같은 광고 행위로 인하여 인터넷 검색을 몇 차례 수행하면 자동으로 생성된 다수의 광고창으로 인해 메모리 누적에 따라 시스템 성능 저하가 유발될 수 있습니다.

 

"PowerKey version 1.0.0" 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 pk.exe, powerkey.exe 프로세스를 찾아 종료하시기 바랍니다.

제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "PowerKey version 1.0.0" 삭제 항목을 이용하여 프로그램 제거 진행한 후 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\Temp\spowerkey.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\PowerKey
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - pk = "C:\Users\(사용자 계정)\AppData\Roaming\PowerKey\powerkey.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EC10EA8C-D7FC-4CC0-A291-FE9928703B4D}_is1

 

PowerKey 광고 프로그램은 설치시 2개의 프로그램으로 분리되어 설치되므로 삭제에 주의하시기 바라며, 과도한 광고 행위로 인하여 시스템 성능 저하를 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.