애드웨어 정보2014.03.13 01:39

본 포스트에서는 '서트키'라고 하는 Windows Explorer Plugin CertKey KB31113 삭제 및 제거 정보에 대해 언급을 하고자 합니다. 본 애드웨어는 정상 프로그램과 광고 수익을 목적으로 하는 제휴 프로그램을 동반 설치하는 유틸룸, 유틸쉐어, 파일맘 등의 다운로더에 의해 1차적으로 프로그램 설치에 대한 합법성을 얻기 위해 반 강제적으로 '제휴 프로그램 사용 약관'을 사용자가 눈치채지 못하는 부분에 두는 방식으로, 일종의 사용자를 기만하는 방식을 이용하며, 2차적으로 프로그램 설치를 인지하지 못하게 시스템 백그라운드 상에서 조용히 설치가 이루어지는 프로그램 중 하나입니다.



해당 프로그램이 백그라운드 상에서 설치가 이루어질 때 1차적으로 a.certkey.or.kr(115.68.102.235)에 맥 어드레스를 전송하며, update.php를 참조하여 CertKey.exe의 상태 및 버젼을 체크하여, 버젼이 낮거나 등의 조건에 부합되지 않을 시 추가적으로 CertKey.exe를 다운받습니다. 그리고 CertKey.dll은 다시 예하 CertKey_pcessence.dl, windowstab.dll, loadcpd.dll 등을 다운받으며, 더불어 Windowstab.dll은 CertKey.exe에 종속 모듈로 들어가, 현재 컴퓨터의 익스플로러 버젼, 맥 어드레스를 체크하여 www.muuk.co.kr(211.172.241.98)으로 전송하는 것으로 보입니다. 이러한 네트워크 과정을 거쳐 PC 내에 파일 및 레지스트리를 생성합니다.




C:\Users\(사용자 계정)\AppData\Roaming\CertKey\CertKeySvc.exe / 서비스 등록 파일(업데이트 담당)

C:\Users\(사용자 계정)\AppData\Roaming\CertKey\CertKey.exe / 업데이트 기능 외에는 빈껍데기 파일, CertKeySvc.exe에 종속

C:\Users\(사용자 계정)\AppData\Roaming\CertKey\CertKey_pcessence.dll / 키워드에 반응하여 팝업창 생성 역할

C:\Users\(사용자 계정)\AppData\Roaming\CertKey\CertKey_uninst.exe / 서트키 언인스톨 파일

C:\Users\(사용자 계정)\AppData\Roaming\CertKey\jisis.ntp

C:\Users\(사용자 계정)\AppData\Roaming\CertKey\loadcpd.dll  / CertKey.exe에 종속

C:\Users\(사용자 계정)\AppData\Roaming\CertKey\windowstab.dll / WindowsTab 모듈인데 CertKey.exe에 종속.



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Explorer Plugin CertKey KB31113

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\CertKey

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertKey



서트키(Windows Explorer Plugin CertKey KB31113)은 서비스에 항목을 생성하여 윈도우 재시작시 자동으로 실행이 되도록 구조가 이루어져 있습니다.




CertKey(CertKey) = "C:\Users\(사용자 계정)\AppData\Roaming\CertKey\CertKeySvc.exe ROLL06"





> CertKeySvc.exe 파일의 기능 : CertKey.exe를 현재 실행중인 CertKeySvc.exe 하위 개념으로 종속시켜서 일반적인 프로세스 종료 방식으로 CertKey.exe를 종료하지 못하도록 방해하는 기능이 있습니다. 더불어 CertKey.exe의 버젼 및 지정된 경로에 존재 여부를 파악하여 만일 조건에 부합하지 않을 경우 update.php를 참조하여 CerKey.exe를 추가적으로 웹에서부터 파일 다운 및 업데이트를 하는 기능을 수행합니다.


> CertKey.exe 파일의 기능 : 파일 자체로는 애드웨어 기능이 포함되지 않았으나 하위 모듈, CertKey_pcessence.dll, loadcpd.dll, windowstab.dll 등이 지정된 경로에 존재하지 않을 경우 추가적으로  update.certkey.or.kr(115.68.92.209)에서 다운로드 기능을 수행합니다.



> CertKey_pcessence.dll 파일의 기능 - CertKey.exe의 종속 모듈이면서, 더불어 ASPack v2.12로 패킹이 되어 있어 따로 언패킹을 해야 하는 모듈입니다. 그래서 언패킹 도구를 이용하든 디버깅 도구를 이용하여 언패킹하든 간에 어쨋든 언패킹을 해서 보면 웹 사이트 서핑 간 키워드를 비롯한 사이트호스트, 익스플로러 버젼을 체크하여 t.openpotservice.com(110.4.106.120)으로 전송하는 기능을 수행합니다.



t.openpotservice.com/apptag/keysearch_tr.asp?keywords=%C7%C7%C0%DA&part=pcessence&SiteHost=

http://search.naver.com/search.naver?where=nexearch&query=%25ED%2594%25BC%25EC%259E%2590&sm=top_hty&

fbm=1&ie=utf8


t.openpotservice.com/apptag/keysearch_v3.asp?keywords=%C7%C7%C0%DA&part=pcessence&browerch=

&SiteHost=search.naver.com 




> windowstab.dll 파일의 기능- WindowsTab에 있어야할 파일이 여기에 왜 있는지 알쏭달쏭하지만 CertKey.dll의 하위 종속 모듈로 있으면서 윈도우 재부팅 등의 CertKey.exe가 실행될 때에 한하여 www.muuk.co.kr(211.172.241.98)으로 익스플로러 버젼 및 맥 어드레스를 전송하는 기능을 수행하는 것으로 추측이 됩니다.




>> 서트키(Windows Explorer Plugin CertKey KB31113) 삭제 및 제거 방법 : 프로그램 추가/제거에서 Windows Explorer Plugin CertKey 31113을 삭제해주시기 바랍니다.



만일 CertKeySvc.exe, CertKey.exe가 활성화가 되어 있으나 프로그램 추가/제거 항목에 존재하지 않을 경우 아래의 경로에서 수동으로 언인스톨 파일을 실행하여 삭제해주시기 바랍니다.


C:\Users\Test\AppData\Roaming\CertKey\CertKey_uninst.exe


참고로 서트키(Windows Explorer Plugin CertKey KB31113) 삭제시 a.certkey.or.kr(115.68.102.234)로 삭제 카운터를 전송하는 기능을 수행합니다.




Posted by Ec0nomist

댓글을 달아 주세요