바탕 화면과 시스템 트레이 알림 아이콘 영역에 광고 팝업창을 생성하며 사용자 몰래 자동으로 인터넷 검색 활동을 수행할 수 있는 국내에서 제작된 "visual allkeytab plugin Ver 1.0.1" 광고 프로그램<SHA-1 : 2e78b4ef93244616b896588f18e3878fcaabe224 - Kaspersky : Trojan-Downloader.Win32.Genome.vvcp (VT : 35/55)>에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 기존부터 다양한 이름으로 제작된 변종이 발견되고 있으므로 참고하시기 바랍니다.
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkt.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe :: 서비스(allkts) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allktup.exe
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkt.exe
- SHA-1 : cbdca5faa88d609ac97878e5c64a92bf19b35f27
- BitDefender : Trojan.GenericKD.2768422 (VT : 32/56)
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe
- SHA-1 : 88128ef71903b432de95ec7e684ff7c99b268fb6
- Hauri ViRobot : Adware.Agent.53248.T[h] (VT : 11/56)
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allktup.exe
- SHA-1 : f855c4d7de9777f5f525c4329b407bd2fc9a0908
- AhnLab V3 365 Clinic : PUP/Win32.Kraddare.R162669 (VT : 16/56)
"visual allkeytab plugin Ver 1.0.1" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab" 폴더에 파일을 생성합니다.
"allkts (표시 이름 : AllKeyTab Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(allkts.exe)은 프로그램 버전 정보를 체크하며 추가적인 업데이트가 존재할 경우 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allktup.exe" 파일을 로딩하여 "정규 업데이트 내용" 창을 생성하여 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
프로그램이 설치된 환경에서는 메모리에 상주하는 allkt.exe 프로세스를 통해 바탕 화면 및 시스템 트레이 알림 아이콘 상단에 구글 애드센스(Google AdSense) 광고 팝업창을 생성할 수 있습니다.
또한 Windows 부팅시 특정 광고 구성값을 체크하여 일정 시간 주기로 다음과 같은 웹 사이트를 순차적으로 자동으로 생성할 수 있습니다.
노출되는 웹 사이트의 경우 회원 가입, 물건 구매, 자동 노출되는 광고 배너를 통해 수익을 창출할 것으로 추정됩니다.
그 외에도 Windows 시작 후 6분 30초 경과시 백그라운드 방식으로 3분 단위로 특정 웹 서버에 검색 키워드 값을 자동 입력하여 웹 사이트 접속이 이루어지며 이를 통해 특정 광고 매체에 접근하는 것으로 판단됩니다.
이를 통해 화면상에서는 노출되지 않는 해당 광고 행위는 검색 키워드를 통해 프리미엄 광고 및 광고 배너가 포함된 광고 목적으로 제작된 검색 서비스로 연결되어 마치 인간이 접속한 것처럼 연결하는 것으로 보입니다.
■ "visual allkeytab plugin Ver 1.0.1" 광고 프로그램 삭제 방법
(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 allkt.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "visual allkeytab plugin Ver 1.0.1" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.
HKEY_CURRENT_USER\Software\allkt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\allkt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AllKeyTab
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\allkts
AllKeyTab 계열의 광고 프로그램은 화면상에서는 노출되지 않는 인터넷 검색 활동을 통해 비정상적인 광고 수익을 유발하고 있으므로 설치되지 않도록 주의하시기 바랍니다.