검색 도우미 : SignKey - b_signkeyex.exe

인터넷 검색 및 웹사이트 접속 시 자동으로 광고창을 생성할 수 있는 국내에서 제작된 SignKey 광고 프로그램(SHA-1 : dffc3b9c29873efd70b1dd2871058dd2aa2cad57 - AhnLab V3 365 Clinic : PUP/Win32.SearchKeys.R82337)의 변종이 확인되어 살펴보도록 하겠습니다.

 

• 검색 도우미 : SignKey (2012.12.15)

• 검색 도우미 : SignKey - e_signkey.exe (2013.9.21)

• 검색 도우미 : SignKey - signkeyiey.exe (2013.11.11)

• 검색 도우미 : SignKey - signkeyiex.exe (2013.12.15)

• 검색 도우미 : SignKey - signkeyexa.exe (2014.4.15)

• 검색 도우미 : SignKey - signkeyexb.exe (2015.3.27)

 

SignKey 광고 프로그램은 2012년 12월경에 최초 등장하여 현재까지 다양한 변종으로 배포되고 있으며, 2015년 12월경 a_signkeyex.exe 변종이 나오고 2016년 3월경 이번에 소개한 변종이 출시된 것으로 보입니다.

 

또한 SignKey 광고 프로그램이 최초 등장한 후 2013년 9월경 매우 유사한 기능을 가진 Searchlike 광고 프로그램이 배포되어 현재까지 운영되고 있으므로 참고하시기 바랍니다.

 

생성 폴더 / 파일 등록 정보

C:\Users\%UserName%\AppData\Local\signkey C:\Users\%UserName%\AppData\Local\signkey\a_signkeyex.exe C:\Users\%UserName%\AppData\Local\signkey\b_signkeyex.exe :: 메모리 상주 프로세스 C:\Users\%UserName%\AppData\Local\signkey\signkey.exe :: 시작 프로그램(signkey) 등록 파일 C:\Users\%UserName%\AppData\Local\signkey\skun.exe :: 프로그램 삭제 파일 C:\Users\%UserName%\AppData\Local\signkey\ts5.dll

생성 파일 진단 정보

C:\Users\%UserName%\AppData\Local\signkey\a_signkeyex.exe  - SHA-1 : 4ca8a7a525bf21350510cad729d87496fecd2a8e  - BitDefender : Gen:Variant.Adware.Strictor.54090   C:\Users\%UserName%\AppData\Local\signkey\b_signkeyex.exe  - SHA-1 : 13a64f9cfc1551c84e318b4a0307f7c2587331b0  - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.alt   C:\Users\%UserName%\AppData\Local\signkey\signkey.exe  - SHA-1 : 16196f3ea39e4d5bcf781762113695445871e884  - Hauri ViRobot : Trojan.Win32.S.Agent.239272.B[h]   C:\Users\%UserName%\AppData\Local\signkey\skun.exe  - SHA-1 : 4be54ddc33a8e6faecc1bb86b94d1be95eccd115  - AVG : Generic5.AEGV   C:\Users\%UserName%\AppData\Local\signkey\ts5.dll  - SHA-1 : 0d4f39564f9fa4d3e414cddd425a47ce3df9d6e3  - AhnLab V3 365 Clinic : PUP/Win32.HubHelper.R91762

 

"JAMIcommunication Co.,Ltd", "LEEYEON communication Co.,Ltd" 2종의 디지털 서명을 사용하는 SignKey 광고 프로그램은 "C:\Users\%UserName%\AppData\Local\signkey" 폴더에 파일을 생성합니다.

 

Windows 시작 시 signkey 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Local\signkey\signkey.exe" 파일을 자동 실행하여 프로그램 업데이트를 체크합니다.

 

이후 [cmd /c "C:\Users\%UserName%\AppData\Local\signkey\b_signkeyex.exe"] 명령어를 실행하여 광고 기능을 수행하는 b_signkeyex.exe 파일을 메모리에 상주시킵니다.

 

 

실행된 b_signkeyex.exe 파일의 리소스 영역에 패킹된 광고 모듈을 추출하여 "C:\Users\%UserName%\AppData\Local\signkey\ts5.dll" 파일을 생성합니다.

 

• 개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)

 

또한 실행된 b_signkeyex.exe 파일은 실행 중인 프로세스를 체크하여 PC방 관리 솔루션(gamedcup.exe, gchartc.exe, gcrawl.exe, getotb.exe, gtiexp.exe, gtlexp.exe, PCWC_Ag.exe, PCWC.exe, PicaClient32.exe, PicaClient64.exe, picatoolsClient1.5.exe, picatoolsClientSe7en.exe, picatoolsMgr.exe, pmclientsetup.exe, ptclient.exe, qaagent.exe, WmCounter.exe)이 존재할 경우 광고 행위를 하지 않도록 제작되어 있습니다.

 

 

SignKey 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저 주소 표시줄에 키워드 검색을 시도할 경우 기본 검색 공급자 정보를 가로채기하여 네이버(Naver) 검색 결과로 자동 연결합니다.

 

또한 인터넷 검색 및 웹사이트 접속 시 자동으로 다양한 광고창을 생성할 수 있습니다.

 

■ SignKey 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 b_signkeyex.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 signkey 프로그램을 찾아 제거하시기 바랍니다.

 

생성 레지스트리 등록 정보

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  - signkey = C:\Users\%UserName%\AppData\Local\signkey\signkey.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\signkey HKEY_CURRENT_USER\Software\signkey

 

SignKey 광고 프로그램의 제거 자체는 어렵지 않지만 사용자의 부주의를 통해 설치된 광고 프로그램은 속도 저하 및 지속적인 광고창 생성으로 불편을 유발할 수 있으므로 사용자가 현명하게 판단하여 제거하시기 바랍니다.