울지않는벌새 : Security, Movie & Society

바로가기 아이콘 생성 프로그램 : KeywordBacon

벌새::Analysis

인터넷 검색 키워드 값을 기반으로 바탕 화면 및 즐겨찾기에 추가된 바로가기 아이콘을 변경할 수 있는 국내에서 제작된 KeywordBacon 바로가기 아이콘 생성 프로그램에 대해 살펴보도록 하겠습니다.

 

프로그램 설치 과정을 살펴보면 배포 파일<SHA-1 : 1cf65d316f82e0c6d8ec8570f7eef43905c3a643 - Hauri ViRobot : Adware.Agent.4468736[h] (VT : 34/56)> 실행을 통해 keybacon.exe 설치 파일<SHA-1 : 921f34e39380fd490408031c83b976395cc5c13e - avast! : Win32:Malware-gen (VT : 16/53)>을 임시 생성하여 프로그램 설치 후 자동 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\KeywordBacon
C:\Program Files\KeywordBacon\baconuninst.exe
C:\Program Files\KeywordBacon\BaseInfo.dat
C:\Program Files\KeywordBacon\icon
C:\Program Files\KeywordBacon\Icon.dat
C:\Program Files\KeywordBacon\iconDelete.dat
C:\Program Files\KeywordBacon\keywordbacon.exe :: 예약 작업(KeywordBacon) 등록 파일, 메모리 상주 프로세스
C:\Program Files\KeywordBacon\rule.rtf
C:\Program Files\KeywordBacon\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\KeywordBacon\UpdateInfo.dat
C:\Users\(사용자 계정)\Desktop\임팩트비뇨기과.url
C:\Users\(사용자 계정)\Favorites\임팩트비뇨기과.url
C:\Users\(사용자 계정)\Favorites\Links\임팩트비뇨기과.url
C:\Windows\System32\Tasks\KeywordBacon

 

[생성 파일 진단 정보]

 

C:\Program Files\KeywordBacon\keywordbacon.exe
 - SHA-1 : a76ef6222acf22666dc25a8e97dfd30e061df82e
 - avast! : Win32:Malware-gen (VT : 12/55)

"enliple / enliple Ltd." 2종의 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Program Files\KeywordBacon" 폴더에 주요 파일을 생성합니다.

예약 작업 영역에 KeywordBacon 작업 스케줄러 값을 등록하여 시스템 시작시 "C:\Program Files\KeywordBacon\keywordbacon.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 keywordbacon.exe 파일은 업데이트 서버에서 프로그램 버전 및 광고 구성값 정보를 체크한 후 메모리에 상주합니다.

KeywordBacon 광고 프로그램은 기본적으로 바탕 화면과 즐겨찾기 영역에 "www.dreamsearch.or.kr" 광고 서버를 경유하여 특정 웹 사이트로 연결되는 다양한 이름을 가진 바로가기 아이콘을 생성합니다.

바로가기 아이콘이 생성된 환경에서 사용자가 특정 검색 키워드 값을 이용하여 인터넷 검색을 시도할 경우 관련 웹 사이트로 연결될 수 있는 바로가기 아이콘으로 변경되는 것을 확인할 수 있습니다.

바로가기 아이콘 바꿔치기 방식은 검색 키워드 및 검색 엔진 정보를 광고 서버에 전송하여 추가된 바로가기 아이콘 정보를 받아와 변경되는 형태이며 사전에 등록된 검색 키워드와 매칭되는 경우에만 변경될 수 있습니다.

참고로 받아오는 바로가기 아이콘 정보는 "C:\Program Files\KeywordBacon\icon" 폴더 내에서 확인이 가능합니다.

 

KeywordBacon 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 keywordbacon.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 KeywordBacon 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

(c) 프로그램 삭제 후 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\KeywordBacon
  • 바탕 화면에 생성된 사용자가 직접 추가하지 않은 인터넷 쇼핑몰 바로가기 아이콘
  • 즐겨찾기에 생성된 사용자가 직접 추가하지 않은 인터넷 쇼핑몰 바로가기 아이콘
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\KeywordBacon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\keywordbacon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KeywordBacon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D08DCA28-F0DC-47EE-AB92-B75A96DE6A69}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KeywordBacon

 

KeywordBacon 광고 프로그램은 지속적으로 다양한 바로가기 아이콘을 생성하며 프로그램 삭제 후에도 지속적으로 수익을 유발할 수 있는 바로가기 아이콘을 제거하지 않으므로 주의하시기 바랍니다.