본문 바로가기

벌새::Analysis

검색 도우미 : AllKeyTab Uninstall

시스템 트레이 알림 아이콘 상단에 광고 팝업창 생성 및 사용자 몰래 자동으로 인터넷 검색을 시도할 수 있는 국내에서 제작된 "AllKeyTab Uninstall" 광고 프로그램<SHA-1 : c85916b2601a44f3e04b32f7a37d4c4a642ef0ba - BitDefender : Trojan.GenericKD.2555773 (VT : 9/55)>에 대해 살펴보도록 하겠습니다.

해당 프로그램은 유사한 기능을 가진 "visual allkeytab plugin Ver 1.0.3" 광고 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\allkeytab
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkt.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe :: 서비스(allkts) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allktup.exe
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\searchopen.dll
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkt.exe
 - SHA-1 : 886e84e7b5cf85113ad9a4f69321cb30f3381725
 - Kaspersky : Trojan-Downloader.Win32.Genome.rkbe (VT : 33/55)

 

C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe
 - SHA-1 : 88128ef71903b432de95ec7e684ff7c99b268fb6
 - BitDefender : Gen:Variant.Graftor.223630 (VT : 9/55)

해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab" 폴더에 파일을 생성합니다.

"allkts (표시 이름 : AllKeyTab Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(allkts.exe)은 프로그램 버전 정보를 체크하여 추가적인 업데이트가 존재할 경우 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allktup.exe" 파일(SHA-1 : 19c5f66331707978d77e7336242866c5a69441f1)을 로딩하여 "정규 업데이트 내용" 창을 생성하여 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

이후 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkt.exe" 파일을 메모리에 상주시킨 후 특정 시점에서는 바탕 화면에 광고 팝업창을 생성할 수 있습니다.

프로그램 실행 후 3분이 경과하는 시점에서 Micro OpenPop 광고 구성값 정보를 체크하여 시스템 트레이 알림 아이콘 상단에 광고 팝업창을 생성할 수 있습니다.

AllKeyTab 광고 프로그램은 기본적으로 화면상에는 표시되지 않는 백그라운드 방식으로 Internet Explorer 웹 브라우저(iexplore.exe)를 실행하여 다음과 같은 다양한 웹 사이트 접속, 인터넷 검색, 자동으로 광고창 생성 행위를 수행할 수 있습니다.

연결되는 웹 서버는 검색 및 다양한 콘텐츠가 포함된 사이트를 제작하여 인간이 인터넷 검색을 하는 것처럼 접근을 하는 것으로 보입니다.

이를 통해 광고창 생성을 통한 광고 노출 또는 인터넷 쇼핑몰 연결 등의 광고 행위를 할 수 있습니다.

 

"AllKeyTab Uninstall" 광고 프로그램 삭제 방법

Windows 작업 관리자를 실행하여 메모리에 상주하는 allkt.exe 프로세스를 찾아 종료한 후 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "AllKeyTab Uninstall" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있습니다.

 

프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab" 폴더를 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\allkt
HKEY_CURRENT_USER\Software\mopop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\allkt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
AllKeyTab
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\allkts

 

"AllKeyTab Uninstall" 광고 프로그램이 설치된 경우 화면상에는 표시되지 않는 인터넷 자동 검색으로 인하여 불필요한 트래픽 유발 및 인터넷 속도 저하가 발생할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.