본문 바로가기

벌새::Analysis

검색 도우미 : Windows Application keycast

반응형

인터넷 검색 시 광고창 생성과 추가적인 악성 광고 프로그램을 설치하여 Windows 보안 기능 약화 및 사용자 몰래 다수의 웹사이트 접속을 통한 광고 수익을 유발하는 국내에서 제작된 "Windows Application keycast" 광고 프로그램(SHA-1 : e3c4be3ab34d37f32c0afd2b9b13052edf092ca7)에 대해 살펴보도록 하겠습니다.

 

 

우선 대표적인 배포 방식을 살펴보면 기존에 설치된 광고 프로그램의 업데이트 기능을 통해 부주의한 사용자의 클릭을 유도하여 자동 설치하는 방식으로 2016년 10월 초부터 배포되고 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\LocalLow\EngineList_keycast.txt
C:\Users\%UserName%\AppData\Roaming\keycast
C:\Users\%UserName%\AppData\Roaming\keycast\keycast.exe :: 시작 프로그램(keycast) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\keycast\keycastagent.exe :: 시작 프로그램(keycastagent) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\keycast\keycastbho.dll :: BHO 등록 파일(keycast Class)
C:\Users\%UserName%\AppData\Roaming\keycast\uninstall.exe :: "Windows Application keycast" 프로그램 삭제 파일

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\keycast\keycast.exe
 - SHA-1 : 6ba8326e7ae5fc6c0529d4838d2bfaa0df2cb737
 - BitDefender : Gen:Variant.Razy.101374

 

C:\Users\%UserName%\AppData\Roaming\keycast\keycastagent.exe
 - SHA-1 : 6b12bc6978b9e3f1898e29cc27010b3ea6792cf5
 - BitDefender : Gen:Variant.Graftor.311465

 

C:\Users\%UserName%\AppData\Roaming\keycast\keycastbho.dll
 - SHA-1 : 55df4ec983e331f7fc761ab1969f6501885ba70b
 - ESET : Win32/Adware.Kraddare.MD

 

 

"adforus Co., Ltd" 디지털 서명이 포함된 "Windows Application keycast" 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\keycast" 폴더에 파일을 생성합니다.

 

  • keycast 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\keycast\keycast.exe
  • keycastagent 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\keycast\keycastagent.exe

 

Windows 시작 시 keycast, keycastagent 2개의 시작 프로그램 등록값을 통해 keycast.exe, keycastagent.exe 파일을 자동 실행하여 프로그램 실행 정보를 체크한 후 메모리에 상주시킵니다.

 

 

이름

 keycast Class

게시자

 adforus Co., Ltd

유형

 브라우저 도우미 개체

CLSID

 {924DB025-F594-4EA7-A108-83A4B72B7E35}

폴더 / 파일

 C:\Users\%UserName%\AppData\Roaming\keycast\keycastbho.dll

 

"Windows Application keycast" 광고 프로그램이 설치된 경우 Internet Explorer 웹 브라우저 실행 시 "keycast Class" 브라우저 도우미 개체(BHO) 추가 기능 사용 여부를 묻는 창이 생성됩니다.

 

만약 사용자가 "keycast Class" 사용을 허용할 경우 Internet Explorer 웹 브라우저 실행 시 keycastbho.dll 광고 모듈을 통해 다음과 같은 광고 행위를 수행할 수 있습니다.

 

사용자가 포털 사이트에 접속하여 인터넷 검색을 시도할 경우 검색 키워드 값을 매칭시켜 특정 광고 서버(api.adtarget.kr)를 경유하여 광고 사이트로 자동 연결시키는 행위를 확인할 수 있습니다.

 

 

실제 화면 상으로는 인터넷 검색과 동시에 위에서 언급한 광고 서버를 경유하여 자동으로 광고창이 생성되는 것을 확인할 수 있습니다.

 

"Windows Application keycast" 광고 프로그램에 숨어있는 keycast1 악성 광고 프로그램 정보

 

"Windows Application keycast" 광고 프로그램이 설치되는 과정에서 자동으로 추가적인 악성 광고 프로그램(keycast1)의 설치 파일을 다운로드하여 "C:\Users\%UserName%\AppData\Roaming\keycast\setup_keybd1.exe" 파일(SHA-1 : 89cb095d345c6d16c56d912e62123e2f5c62ec7b - BitDefender : Adware.GenericKD.3620059)로 생성 및 실행됩니다.

 

해당 파일 및 생성 파일은 Themida 패킹을 통해 가상 환경 및 네트워크 분석 도구가 존재하는 환경에서는 설치 및 실행되지 않도록 분석을 방해하고 있습니다.

 

생성 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\keycast\keycast1.dll :: BHO 등록 파일(keycast1)
C:\Users\%UserName%\AppData\Roaming\keycast\keycast1c.exe :: 시작 프로그램(keycast1c) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\keycast\keycast1j.dll
C:\Users\%UserName%\AppData\Roaming\keycast\keycast1u.exe :: 시작 프로그램(keycast1u) 등록 파일
C:\Users\%UserName%\AppData\Roaming\keycast\uninstall1.exe :: keycast1 프로그램 삭제 파일

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\keycast\keycast1.dll
 - SHA-1 : eae21daabd9e03aed4aa3e385e5128621e1a6c52
 - Trend Micro : TROJ_GEN.R02KC0OJH16

 

C:\Users\%UserName%\AppData\Roaming\keycast\keycast1c.exe
 - SHA-1 : e54969c3972ab2300699dce1e09857357d6d6857
 - Hauri ViRobot : Trojan.Win32.Z.Keywordfind.1056992[h]

 

C:\Users\%UserName%\AppData\Roaming\keycast\keycast1j.dll
 - SHA-1 : a98c03af5148e958debaaf5565029737eb3e6f9c
 - Avira : ADWARE/KeywordFind.utodr

 

C:\Users\%UserName%\AppData\Roaming\keycast\keycast1u.exe
 - SHA-1 : f7b9dfe9611d83e1c44db20d9420ce543638dcdb
 - AhnLab V3 365 Clinic : PUP/Win32.BHO.C1491315

 

 

추가적으로 설치된 keycast1 광고 프로그램은 "adforus Co., Ltd" 디지털 서명이 포함되어 있으며 "C:\Users\%UserName%\AppData\Roaming\keycast" 폴더 내에 파일을 생성합니다.

 

  • keycast1c 시작 프로그램 등록값 : "C:\Users\%UserName%\AppData\Roaming\keycast\keycast1c.exe"
  • keycast1u 시작 프로그램 등록값 : "C:\Users\%UserName%\AppData\Roaming\keycast\keycast1u.exe"

 

Windows 시작 시 keycast1c, keycast1u 2개의 시작 프로그램 등록값을 통해 keycast1c.exe, keycast1u.exe 파일을 자동 실행하여 프로그램 업데이트 및 광고 기능을 수행하는 keycast1c.exe 파일을 메모리에 상주시킵니다.

 

우선 keycast1 광고 프로그램 설치로 인하여 Windows 보안 기능 약화 및 기본 설정값을 변경하여 자신의 행위로 인해 발생할 수 있는 메시지를 표시하지 않도록 변경하는 부분에 대해 살펴보도록 하겠습니다.

 

(1) 사용자 계정 컨트롤(UAC) 설정을 변경하여 파일 실행 알림 메시지를 생성하지 않도록 합니다.

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
 - ConsentPromptBehaviorAdmin = 5 :: 기본값
 - ConsentPromptBehaviorAdmin = 0 :: 변경 후

이를 통해 PC를 변경할 수 있는 권한을 요구하는 파일 실행 시 사용자 계정 컨트롤(UAC) 메시지 창이 생성되지 않습니다.

 

(2) Windows Defender 보안 기능을 영구적으로 비활성화하도록 DisableAntiSpyware 레지스트리 값을 추가합니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
 - DisableAntiSpyware = 1

Windows 8.1, Windows 10 운영 체제에 기본적으로 내장된 Windows Defender 백신 프로그램이 동작하지 않도록 DisableAntiSpyware 레지스트리 값을 추가합니다.

 

(3) Internet Explorer 웹 브라우저의 인터넷 보호 모드 기능을 사용하지 않도록 NoProtectedModeBanner 레지스트리 값을 추가합니다.

 

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - NoProtectedModeBanner = 1

해당 설정을 통해 Internet Explorer 웹 브라우저를 이용하여 인터넷 검색 시 자동으로 생성될 수 있는 광고창 행위에 대해 비보호 모드가 동작함을 경고하는 메시지가 생성될 수 있는 부분을 우회할 수 있습니다.

 

(4) Microsoft SmartScreen 필터 해제를 통해 악성 사이트 방문을 차단하지 못하게 설정을 변경합니다.

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
 - SmartScreenEnabled = off

Microsoft SmartScreen 필터 기능은 Internet Explorer 웹 브라우저를 이용하여 접속하는 웹사이트 또는 다운로드되는 파일을 검사하여 보안상 위험할 경우 차단하는 기능입니다.

 

(5) Internet Explorer 웹 브라우저 사용 중 추가 기능으로 인한 속도 저하 메시지를 표시하지 않도록 변경합니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1

"Windows Application keycast" 및 keycast1 광고 프로그램 설치로 인해 추가되는 2개의 브라우저 도우미 개체(BHO) 및 백그라운드 방식을 통한 웹사이트 접속 행위로 웹 브라우저 속도 저하가 발생할 경우 생성될 수 있는 노란색 메시지를 표시하지 않도록 설정합니다.

 

 

이름

 keycast1

게시자

 adforus Co., Ltd

유형

 브라우저 도우미 개체

CLSID

 {CC01FC6C-3FD6-488C-B953-CB1FF9A91A61}

폴더 / 파일

 C:\Users\%UserName%\AppData\Roaming\keycast\keycast1.dll

 

"Windows Application keycast" 광고 프로그램과 함께 자동 설치될 수 있는 keycast1 광고 프로그램은 keycast1 브라우저 도우미 개체(BHO) 등록 시 사용자에게 사용 여부를 묻지 않고 자동으로 추가됩니다.

 

이를 통해 Internet Explorer 웹 브라우저를 이용한 인터넷 검색 및 웹 사이트 접속/종료 시 keycast1.dll 광고 모듈을 통해 광고 서버와 통신하여 특정 웹 사이트 접속 시 제휴 코드가 포함된 광고창이 생성될 수 있을 것으로 추정됩니다.

 

또한 keycast1c 시작 프로그램 등록값을 통해 자동 실행된 "C:\Users\%UserName%\AppData\Roaming\keycast\keycast1c.exe" 파일은 메모리에 상주하여 "C:\Users\%UserName%\AppData\Roaming\keycast\keycast1j.dll" 광고 모듈 로딩을 통해 다음과 같은 광고 행위를 화면에 표시되지 않는 백그라운드 방식으로 반복적으로 수행할 수 있습니다.

 

 

최소 6개 이상의 광고 배너가 포함된 웹사이트에 자동 접속하여 광고 노출을 통한 금전 수익을 얻도록 구성되어 있으며, 해당 행위는 사용자가 아닌 keycast1 광고 프로그램이 자동으로 진행하는 변칙적인 수익 활동입니다.

 

해당 광고 행위 과정에서 각 사이트 접속이 이루어진 경우 사이트 이름, 프로그램 이름, 사용자 Mac Address 값 정보를 체크하는 동작을 확인할 수 있습니다.

 

"Windows Application keycast"keycast1 광고 프로그램 제거 방법

 

"Windows Application keycast" 광고 프로그램은 내부적으로는 2종의 광고 프로그램으로 분류되어 있으며, 파일 구성에서도 각각의 광고 프로그램의 삭제 파일로 구성되어 있습니다.

 

하지만 "Windows Application keycast" 광고 프로그램 제거를 통해 자동으로 keycast1 광고 프로그램도 제거됩니다.

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 keycastagent.exe 프로세스를 선택하여 마우스 우클릭을 통해 "프로세스 트리 끝내기" 메뉴를 실행하시기 바라며, 추가적으로 keycast1c.exe 프로세스를 찾아 종료하시기 바랍니다.

 

만약 keycast.exe 프로세스를 선택하여 종료를 시도할 경우 프로세스 보호 기능을 통해 자동으로 재생성되므로 참고하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Application keycast" 프로그램을 찾아 제거하시기 바랍니다.

 

생성 / 변경된 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Bloc
HKEY_CURRENT_USER\Software\keycast
HKEY_CURRENT_USER\Software\keycast1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - NoProtectedModeBanner = 1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
 - keycast1c.exe = 2af8
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - keycast = C:\Users\%UserName%\AppData\Roaming\keycast\keycast.exe
 - keycastagent = C:\Users\%UserName%\AppData\Roaming\keycast\keycastagent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{924DB025-F594-4EA7-A108-83A4B72B7E35}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-3FD6-488C-B953-CB1FF9A91A61}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{83B51F2B-B5A0-4AB7-9FF9-2211EF5229C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\keycast1.keycast1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sidehelper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sidehelper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1C7DDB95-020E-4444-9959-9618216BFA0E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
 - SmartScreenEnabled = off
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{924DB025-F594-4EA7-A108-83A4B72B7E35}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC01FC6C-3FD6-488C-B953-CB1FF9A91A61}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
 - ConsentPromptBehaviorAdmin = 5 :: 기본값
 - ConsentPromptBehaviorAdmin = 0 :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - keycast1c = "C:\Users\%UserName%\AppData\Roaming\keycast\keycast1c.exe"
 - keycast1u = "C:\Users\%UserName%\AppData\Roaming\keycast\keycast1u.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\keycast
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
 - DisableAntiSpyware = 1

 

 

"Windows Application keycast" 광고 프로그램이 설치된 경우 자동으로 다양한 웹사이트 자동 접속 행위가 화면에는 표시되지 않는 상태로 진행되어 불필요한 트래픽 유발 및 PC 속도 저하를 유발할 수 있습니다.

 

또한 단순히 "Windows Application keycast" 광고 프로그램 제거만을 할 경우 Windows 보안 기능이 약화될 수 있으므로 변경된 Windows 기본값을 반드시 수정하시고 사용하시길 권장합니다.

 

728x90
반응형