본문 바로가기

벌새::Analysis

검색 도우미 : Windows Internet Explorer KKeywork V.3.2.1.1

다양한 검색 키워드 값을 이용하여 백그라운드 방식으로 "열린 주소창 검색(dns.ktguide.com)" 서비스에서 인터넷 검색을 수행하는 국내에서 제작된 "Windows Internet Explorer KKeywork V.3.2.1.1" 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 기존에 배포된 WinKeyword 광고 프로그램의 변종이므로 참고하시기 바랍니다.

설치 과정을 살펴보면 배포 파일<SHA-1 : c4af134eeeaef02acde659299cd7c0e16ee51e38 - ESET : a variant of Win32/Adware.CloverPlus.AB (VT : 22/56)> 실행을 통해 생성된 c_updater.exe 파일(= KKeywork_Up.exe)은 특정 서버에서 암호화된 값을 체크하여 다음과 같은 생성 파일을 다운로드하여 프로그램 설치(패치)를 진행합니다.

 

  • h**p://app.****work.com/down/c_exe.exe (= KKeywork.exe)
  • h**p://app.****work.com/down/c_updater.exe (= KKeywork_Up.exe)
[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\KKeywork
C:\Users\(사용자 계정)\AppData\Local\KKeywork\KKeywork.exe :: 시작 프로그램(KKeywork) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\KKeywork\KKeywork_uninstaller.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\KKeywork\KKeywork_Up.exe :: 시작 프로그램(KKeywork_Up) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\KKeywork\KKeywork.exe
 - SHA-1 : 08f105bb66026706dcab76f8d9adb493036fb2b9
 - AhnLab V3 365 Clinic : PUP/Win32.WinKeyword.R137828 (VT : 16/56)

 

C:\Users\(사용자 계정)\AppData\Local\KKeywork\KKeywork_Up.exe
 - SHA-1 : 2b3424df362134f54493b107f74e5ed64ad13fc4
 - Hauri ViRobot : Adware.Agent.120928.B[h] (VT : 31/56)

"Rainnd Inc" 디지털 서명이 포함된 "Windows Internet Explorer KKeywork V.3.2.1.1" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\KKeywork" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 자동 등록값을 통해 파일을 실행합니다.

 

  • 시작 프로그램(KKeywork) : C:\Users\(사용자 계정)\AppData\Local\KKeywork\KKeywork.exe
  • 시작 프로그램(KKeywork_Up) : C:\Users\(사용자 계정)\AppData\Local\KKeywork\KKeywork_Up.exe

자동 실행된 KKeywork_Up.exe 파일은 프로그램 업데이트 체크를 수행한 후 자동 종료 처리되며, 광고 기능을 수행하는 KKeywork.exe 파일은 메모리에 상주하여 다음과 같은 자동 실행할 수 있습니다.

특정 서버에서 제공하는 암호화된 광고 구성값을 체크하여 다양한 검색 키워드 값을 활용하여 열린 주소창 검색(dns.ktguide.com)으로 지속적인 연결이 이루어지며, 해당 광고 행위는 화면상으로 표시되지 않도록 백그라운드 방식으로 수행합니다.

또한 사용자가 인터넷 검색 과정에서 사용된 검색 키워드 값을 특정 서버에 GET 방식으로 콜백(Callback)처리를 수행할 수 있습니다.

더 나아가 사용자 검색 키워드 값을 특정 서버에 전송하여 열린 주소창 검색(dns.ktguide.com)으로 백그라운드 방식으로 연결하여 트래픽을 유발하는 모습을 확인할 수 있습니다.

 

이를 통해 화면상으로는 "Windows Internet Explorer KKeywork V.3.2.1.1" 광고 프로그램 설치로 인하여 광고창 생성 등의 동작을 확인되지 않지만 자동으로 웹 서버 연결이 지속되어 트래픽 유발이 발생합니다.

 

"Windows Internet Explorer KKeywork V.3.2.1.1" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 KKeywork.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 실행 중인 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Internet Explorer KKeywork V.3.2.1.1" 삭제 항목을 이용하여 프로그램 삭제를 진행할 수 있습니다.

 

(c) 프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\Local\KKeywork" 폴더를 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\WinKeyword
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - KKeywork = C:\Users\(사용자 계정)\AppData\Local\KKeywork\KKeywork.exe
 - KKeywork_Up = C:\Users\(사용자 계정)\AppData\Local\KKeywork\KKeywork_Up.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinKeyword

 

"Windows Internet Explorer KKeywork V.3.2.1.1" 광고 프로그램처럼 화면상에서는 표시되지 않는 광고 행위로 인하여 웹 브라우저 속도 저하 등의 문제를 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.