본문 바로가기

벌새::Analysis

검색 도우미 : visual allkeytab plugin Ver 1.0.1

728x90
반응형

바탕 화면과 시스템 트레이 알림 아이콘 영역에 광고 팝업창을 생성하며 사용자 몰래 자동으로 인터넷 검색 활동을 수행할 수 있는 국내에서 제작된 "visual allkeytab plugin Ver 1.0.1" 광고 프로그램<SHA-1 : 2e78b4ef93244616b896588f18e3878fcaabe224 - Kaspersky : Trojan-Downloader.Win32.Genome.vvcp (VT : 35/55)>에 대해 살펴보도록 하겠습니다.

해당 광고 프로그램은 기존부터 다양한 이름으로 제작된 변종이 발견되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\allkeytab
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkt.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe :: 서비스(allkts) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allktup.exe
C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkt.exe
 - SHA-1 : cbdca5faa88d609ac97878e5c64a92bf19b35f27
 - BitDefender : Trojan.GenericKD.2768422 (VT : 32/56)

 

C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe
 - SHA-1 : 88128ef71903b432de95ec7e684ff7c99b268fb6
 - Hauri ViRobot : Adware.Agent.53248.T[h] (VT : 11/56)

 

C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allktup.exe
 - SHA-1 : f855c4d7de9777f5f525c4329b407bd2fc9a0908
 - AhnLab V3 365 Clinic : PUP/Win32.Kraddare.R162669 (VT : 16/56)

"visual allkeytab plugin Ver 1.0.1" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab" 폴더에 파일을 생성합니다.

"allkts (표시 이름 : AllKeyTab Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allkts.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(allkts.exe)은 프로그램 버전 정보를 체크하며 추가적인 업데이트가 존재할 경우 "C:\Users\(사용자 계정)\AppData\Roaming\allkeytab\allktup.exe" 파일을 로딩하여 "정규 업데이트 내용" 창을 생성하여 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

프로그램이 설치된 환경에서는 메모리에 상주하는 allkt.exe 프로세스를 통해 바탕 화면 및 시스템 트레이 알림 아이콘 상단에 구글 애드센스(Google AdSense) 광고 팝업창을 생성할 수 있습니다.

또한 Windows 부팅시 특정 광고 구성값을 체크하여 일정 시간 주기로 다음과 같은 웹 사이트를 순차적으로 자동으로 생성할 수 있습니다.

노출되는 웹 사이트의 경우 회원 가입, 물건 구매, 자동 노출되는 광고 배너를 통해 수익을 창출할 것으로 추정됩니다.

그 외에도 Windows 시작 후 6분 30초 경과시 백그라운드 방식으로 3분 단위로 특정 웹 서버에 검색 키워드 값을 자동 입력하여 웹 사이트 접속이 이루어지며 이를 통해 특정 광고 매체에 접근하는 것으로 판단됩니다.

 

이를 통해 화면상에서는 노출되지 않는 해당 광고 행위는 검색 키워드를 통해 프리미엄 광고 및 광고 배너가 포함된 광고 목적으로 제작된 검색 서비스로 연결되어 마치 인간이 접속한 것처럼 연결하는 것으로 보입니다.

 

"visual allkeytab plugin Ver 1.0.1" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 allkt.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "visual allkeytab plugin Ver 1.0.1" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\allkt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\allkt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AllKeyTab
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\allkts

 

AllKeyTab 계열의 광고 프로그램은 화면상에서는 노출되지 않는 인터넷 검색 활동을 통해 비정상적인 광고 수익을 유발하고 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형