애드웨어 정보2014.03.15 21:24

본 포스트에서는 Windows Internet Explorer KoreanKeyword V.2.2.1.1 애드웨어 삭제 및 제거 정보에 대해 언급하고자 합니다.본 포스트에서 언급할 Windows Internet Explorer KoreanKeyword V.2.2.1.1은 일부 블로그, 카페 등의 다소 신뢰하기가 어려운 사이트 내에서 다운받아진 이른바, 정상 프로그램과 광고 수익을 목적으로 하는 제휴 프로그램을 동반 설치하는 유틸룸, 유틸조이 등의 다운로더에 의해 1차적으로 프로그램 설치에 대한 합법성을 얻기 위해 반 강제적으로 '제휴 프로그램 사용 약관'을 사용자가 눈치채지 못하는 부분에 두는 방식으로, 일종의 사용자를 기만하는 방식을 이용하며, 2차적으로 프로그램 설치를 인지하지 못하게 시스템 백그라운드 상에서 조용히 설치가 이루어지는 프로그램 중 하나입니다.




Windows Internet Explorer KoreanKeyword V.2.2.1.1 애드웨어는 1차적으로 자체 인스톨러 내에 있는 파일인 WinKeyword_up.exe와 WKK_uninstaller.exe를 지정된 경로에 생성 및 설치를 하며, 2차적으로 설치가 완료된 WinKeyword_up.exe가 현재 자신과 WinKeyword.exe 파일의 존재 여부 및 업데이트 상태를 확인하여 추가적으로 웹에서 다운받아오는 방식을 취합니다.




다운이 완료되면 최종적으로 아래의 경로에 파일 및 레지스트리를 생성합니다.



▶ C:\Users\(사용자 계정)\AppData\Local\KoreanKeyword\WinKeyword_up.exe

▶ C:\Users\(사용자 계정)\AppData\Local\KoreanKeyword\WinKeyword.exe

▶ C:\Users\(사용자 계정)\AppData\Local\KoreanKeyword\WKK_uninstaller.exe


▶ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinKeyword


▶ HKEY_CURRENT_USER\Software\Microsoft\WinKeyword

▶ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"WinKeyword_Up"="C:\\Users\\Test\\AppData\\Local\\KoreanKeyword\\WinKeyword_Up.exe" 

"WinKeyword"="C:\\Users\\Test\\AppData\\Local\\KoreanKeyword\\WinKeyword.exe" 



그리고 Windows Internet Explorer KoreanKeyword V.2.2.1.1 애드웨어는 시작 프로그램에 업데이트 파일과 실행 파일을 항목으로 생성으로하여 윈도우 재부팅 시 자동으로 시작이 되는 구조로 이루어져 있습니다.




WinKeyword_Up = "C:\Users\(사용자 계정)\AppData\Local\KoreanKeyword\WinKeyword_Up.exe"

WinKeyword 응용 프로그램 = "C:\Users\(사용자 계정)\AppData\Local\KoreanKeyword\WinKeyword.exe"



>> WinKeyword_Up.exe의 여러 동작


1) app.winkeyword.co.kr(211.110.214.32)에서 다운받을 파일을 확인합니다. 참고로 암호화가 되어 있어 맞는지 잘 모르겠습니다. ㅇㅅㅇ;;





2) InternetOpen, InternetOpenUrl API 함수를 이용하여 네이버와 구글에 접속되는지 확인하고 InternetCloseHandle 함수를 이용해 종료합니다.



2) 업데이트 간 Update%d.exe를 생성하여 WinKeyword_Up.exe를 업데이트하는 기능을 수행합니다.



3) 그리고 WinKeyword.exe의 존재 유무를 확인하여 존재하지 않을시 WinKeyword.exe를 웹에서 추가 다운받습니다.



4) TerminateProcess, GetExitCodeProcess, CloseHandle를 이용하여 자신을 종료합니다. 프로세스의 포인터...Dwsize를 지정하고.... 함수 이것저것 호출해서 확인하여 조건에 부합될 시 종료되는 걸로 파악했는데 아직 C언어 쌩기초도 모르는 잉여라 죄송합니다.




>> WinKeyword.exe 파일의 기능


1) WinKeyword_Up.exe처럼 구글, 마이크르소프트 사이트에 접속하여 인터넷 연결 상태 유무를 확인하는 것으로 보입니다.




2) app.koreankeyword.com(211.110.214.32) 서버의 특정 웹 사이트 내에서 암호화된 문자열을 확인합니다.(뭔지 모름..;;)


app.koreankeyword.com/alive.php?client=id10


app.koreankeyword.com/config.php?client=id10


app.koreankeyword.com/dtf.php?client=id10



3) 인터넷 익스플로러 주소창에 특정 키워드를 입력하여 검색시 Searchby.me(서치바이미)로 연결이 이루어집니다. 그나저나 기본 검색 공급자를 제끼고 곧바로 서치바이미로 연결이 이루어지는 건, 리다이렉트도 아니고.... 잘 모르겠습니다....ㅇㅅㅇ;;








> 서치바이미(Searchby.me)로 연결되는 Windows Internet Explorer KoreanKeyword V.2.2.1.1 삭제 및 제거 방법


1. 프로그램 추가/제거에서 Windows Internet Explorer KoreanKeyword V.2.2.1.1를 삭제해주시기 바랍니다.





만일 WinKeyword.exe 혹은 WinKeyword_Up.exe가 존재하나 프로그램 추가/제거 항목에 존재하지 않을 경우 아래의 경로에서 수동으로 언인스톨 파일을 실행하여 삭제해주시기 바랍니다 


C:\Users\Test\AppData\Local\KoreanKeyword\WKK_uninstaller.exe



2. 아래의 경로에 있는 폴더 및 파일을 삭제해주시기 바랍니다.


C:\Users\Test\AppData\Local\KoreanKeyword\WKK_uninstaller.exe

C:\Users\Test\AppData\Local\KoreanKeyword\

Posted by Ec0nomist

댓글을 달아 주세요

  1. 백발검신

    정말 감사합니다.. 자꾸 팝업창 떠서 고생해서 혹시나 검색해봤는데
    작성자분 덕에 지웠습니다. 감사합니다.

    2014.03.19 17:28 [ ADDR : EDIT/ DEL : REPLY ]