인터넷 검색 및 웹사이트 접속 시 자동으로 광고창을 생성할 수 있는 국내에서 제작된 SignKey 광고 프로그램(SHA-1 : dffc3b9c29873efd70b1dd2871058dd2aa2cad57 - AhnLab V3 365 Clinic : PUP/Win32.SearchKeys.R82337)의 변종이 확인되어 살펴보도록 하겠습니다.
SignKey 광고 프로그램은 2012년 12월경에 최초 등장하여 현재까지 다양한 변종으로 배포되고 있으며, 2015년 12월경 a_signkeyex.exe 변종이 나오고 2016년 3월경 이번에 소개한 변종이 출시된 것으로 보입니다.
또한 SignKey 광고 프로그램이 최초 등장한 후 2013년 9월경 매우 유사한 기능을 가진 Searchlike 광고 프로그램이 배포되어 현재까지 운영되고 있으므로 참고하시기 바랍니다.
생성 폴더 / 파일 등록 정보 |
C:\Users\%UserName%\AppData\Local\signkey
|
생성 파일 진단 정보 |
C:\Users\%UserName%\AppData\Local\signkey\a_signkeyex.exe
C:\Users\%UserName%\AppData\Local\signkey\b_signkeyex.exe
C:\Users\%UserName%\AppData\Local\signkey\signkey.exe
C:\Users\%UserName%\AppData\Local\signkey\skun.exe
C:\Users\%UserName%\AppData\Local\signkey\ts5.dll
|
"JAMIcommunication Co.,Ltd", "LEEYEON communication Co.,Ltd" 2종의 디지털 서명을 사용하는 SignKey 광고 프로그램은 "C:\Users\%UserName%\AppData\Local\signkey" 폴더에 파일을 생성합니다.
Windows 시작 시 signkey 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Local\signkey\signkey.exe" 파일을 자동 실행하여 프로그램 업데이트를 체크합니다.
이후 [cmd /c "C:\Users\%UserName%\AppData\Local\signkey\b_signkeyex.exe"] 명령어를 실행하여 광고 기능을 수행하는 b_signkeyex.exe 파일을 메모리에 상주시킵니다.
실행된 b_signkeyex.exe 파일의 리소스 영역에 패킹된 광고 모듈을 추출하여 "C:\Users\%UserName%\AppData\Local\signkey\ts5.dll" 파일을 생성합니다.
또한 실행된 b_signkeyex.exe 파일은 실행 중인 프로세스를 체크하여 PC방 관리 솔루션(gamedcup.exe, gchartc.exe, gcrawl.exe, getotb.exe, gtiexp.exe, gtlexp.exe, PCWC_Ag.exe, PCWC.exe, PicaClient32.exe, PicaClient64.exe, picatoolsClient1.5.exe, picatoolsClientSe7en.exe, picatoolsMgr.exe, pmclientsetup.exe, ptclient.exe, qaagent.exe, WmCounter.exe)이 존재할 경우 광고 행위를 하지 않도록 제작되어 있습니다.
SignKey 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저 주소 표시줄에 키워드 검색을 시도할 경우 기본 검색 공급자 정보를 가로채기하여 네이버(Naver) 검색 결과로 자동 연결합니다.
또한 인터넷 검색 및 웹사이트 접속 시 자동으로 다양한 광고창을 생성할 수 있습니다.
■ SignKey 광고 프로그램 제거 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 b_signkeyex.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 signkey 프로그램을 찾아 제거하시기 바랍니다.
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
|
SignKey 광고 프로그램의 제거 자체는 어렵지 않지만 사용자의 부주의를 통해 설치된 광고 프로그램은 속도 저하 및 지속적인 광고창 생성으로 불편을 유발할 수 있으므로 사용자가 현명하게 판단하여 제거하시기 바랍니다.