국내에서 제작된 검색키워드광고 프로그램으로 특정 키워드 입력 시 플래시 팝업광고와 해당 업체 홈페이지를 띄워
광고주로부터 수익을 내는 방식의 프로그램이며 해당 프로그램에 대해 한 번 살펴보도록 하겠습니다.



어떠한 경로로 실행이 되는지 알 수는 없으나 해당 파일이 실행된 후 
자신은 삭제가 되도록 하여 사용자가 설치여부를 확인할 수 없도록 합니다.





카스퍼스키 보안제품에서는 HEUR:Trojan.Win32.Generic 진단명으로 진단하고 있습니다.



dktemp.exe 프로세스를 띄워 업데이트 파일과 DirectKeyword2.exe 파일을 다운받으며 DirectKeyword2.exe
프로세스를 메모리에 상주시켜 검색엔진을 주기적으로 확인하여 특정 키워드 입력 시 광고와 해당 업체 홈페이지를
생성하도록 하는 역할을 합니다.








해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Application Data\DirectKeyword2]
폴더에 파일을 생성하며, 윈도우 시작시 DirectKeyword2.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록
구성되어 있습니다.

[생성파일 / 폴더]

  - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2
  - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2\dktemp.exe (프로그램 다운로드)
  - C:\Docum...\(사용자 계정)\Local ...\Tempo...\Cont...\(랜덤폴더명)\DirectKeyword2_1107130.zip (업데이트 파일 및 사용자 정보 전송)
  - C:\Docum...\(사용자 계정)\Applic...\DirectKeyword2\Directkeyword2.exe (메모리 상주 프로그램)
  - C:\Docum...\(사용자 계정)\Local ...\Temporary Int...\Content.IE5\(랜덤폴더명)\install2.htm
  - C:\Docum...\(사용자 계정)\Local ...\Temp...\Cont...\(랜덤폴더명)\SetActiveCount_new.htm

 




자동시작을 위해 레지스트리에 DirectKeyword2.exe 파일이 등록 되어 있는 것을 확인할 수 있습니다.

[레지스트리 등록 정보]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 - DirectKeyword2 "C:\Documents and Settings\Administrator\Application Data\DirectKeyword2\DirectKeyword2.exe"

[HKCU\Software\GOMSEK.COM\DirectKeyword2]
 - Owner "admin"
 - Version "1107130"





해당 프로그램은 다른 검색 도우미와 다르게 툴바 및 사이드바 형식이 아니기 때문에 인터넷창을 띄워도
사용자는 아무런 변화를 느낄 수가 없으나 해당 키워드가 입력이 되면 플래시 팝업창 또는 업체 사이트를 생성해
사용자의 불편을 주고 있습니다.








[검색엔진 정보]
 
  paran.com             google.co.kr              google.com                
  daum.net               naver.com                 nate.com      
  empas.com           kr.yahoo.com             hanafos.com   
  freechal.com         dreamwiz.com           msn.com
  korea.com            auction.co.kr



해당 방식이 타 검색도우미와 비교하였을 때 나쁘지 않는 방식이긴하나 대부분의 검색도우미가 그렇듯
사용자의 동의를 구하지 않고 설치가 되는것이 문제여서 이러한 부분이 사용자기 느끼기에 컴퓨터가
이상해졌다.. 바이러스에 걸린것 같다..라고 생각할 수 밖에 없을 것 같습니다.
또한 팝업 띄우는 웹페이지가 악성코드에 감염이 되어 있으면 원치않게 감염이 될 수 있어
추가 피해가 발생할 수 있는 여지가 있습니다.
해당 업체에서는 이러한 부분도 신경을 써야 하지 않을까 생각이 됩니다.



사용을 원치않으시는 분은 [제어판 -> 프로그램 추가/제거]에서 해당 프로그램을 삭제할 수 있습니다.