티스토리 툴바

Daum
Tistory
로그인

국내 악성코드 : 마이포인트 - Windows MyPoints

벌새::Analysis 2010/09/07 15:18

♬ 사운드를 끄려면 영상 하단 "스피커" 버튼 클릭 후 생성되는 "스피커" 버튼을 누르시기 바랍니다. 광고 사운드로 불편을 드려서 죄송합니다. ♬

국내에서 적립금 프로그램으로 배포가 이루어지고 있는 악성코드 [마이포인트 - Windows MyPoints]에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : ec76a22938bd1c3a4e7631d9db22552a)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Adware/Win32.DirectWeb (VirusTotal : 15/43) 진단명으로 진단되고 있습니다.

일반적으로 적립금 프로그램은 해당 서비스 업체에 회원 가입을 통해 적립된 포인트를 현금으로 환급할 수 있는 시스템이지만, 해당 프로그램이 설치된 환경에서는 사용자 몰래 광고 코드가 추가되어 회원 가입과 상관없이 프로그램 배포자에게 수익이 발생할 수 있는 것으로 추정됩니다.


[생성 파일 진단 정보]

C:\Program Files\mypoints\mypoint.exe (MD5 : ddb1f746ca0126086018106f060e850a)
 - AhnLab V3 : Trojan/Win32.Agent (VirusTotal : 24/43)

C:\Program Files\mypoints\mypoint_delete.exe (MD5 : dbf15b771548eb54d71ab417567198d5)
 - AhnLab V3 : Win-Trojan/Xema.variant (VirusTotal : 33/43)

C:\WINDOWS\system32\mypoint_update.exe (MD5 : a788c27724f310063ee7ac80f0305ab3)
 - AhnLab V3 : Win-Trojan/Xema.variant (VirusTotal : 26/43)

해당 프로그램은 설치 초기에 Windows 시작시 mypoint_update.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[시스템 재부팅 후 추가 생성 파일 진단 정보]

C:\WINDOWS\system32\mypoint_delete.exe (MD5 : 80b1cb56de3f0b48ece600905ce1f042)
 - AhnLab V3 : Adware/Win32.DirectWeb (VirusTotal : 33/42)

C:\WINDOWS\system32\mypoint_update.exe2 (MD5 : e1803ef7a3e6be1d5b17894244550ee6)
 - AhnLab V3 : Adware/Win32.DirectWeb (VirusTotal : 31/43)

해당 프로그램이 설치된 환경에서는 사용자가 웹 브라우저를 통한 특정 검색을 시도할 경우 프로그램에서 제공하는 광고 코드가 포함된 URL을 포함하여 접속을 시도하거나, 야후(Yahoo) 검색 납치 등의 동작을 확인할 수 있습니다.


특히 옥션(Auction) 검색을 시도할 경우 그림과 같이 해당 적립금 프로그램 가입 여부와 상관없이 수익이 발생할 수 있는 광고 코드를 포함하여 바로 접속이 이루어지는 동작을 확인할 수 있습니다.


프로그램 삭제시에는 작업 관리자에서 mypoint.exe 또는 mypoint_update.exe 프로세스가 존재할 경우 수동으로 종료한 후, 제어판의 [Windows mypoints] 삭제 항목을 제공하고 있는 것을 확인할 수 있습니다.


삭제 단계에서는 그림과 같은 마이포인트 삭제 관련 안내창이 생성되며, 자칫 해당 안내창에서 삭제 방법을 찾지 못할 수도 있어 보입니다.


해당 프로그램 삭제는 안내창의 스크롤바를 하단으로 더 내려야지 숨어있는 삭제 버튼을 발견할 수 있으므로 참고하시기 바랍니다.

하지만, 보안 제품에서는 해당 프로그램의 삭제 파일(mypoint_delete.exe) 역시 악성코드로 진단을 하고 있으며, 실제 프로그램 삭제를 시도하였을 경우 레지스트리 등록값이 제대로 제거되지 않는 것으로 보이므로 보안 제품을 통한 삭제 및 수동 삭제 방법을 이용하시길 권장합니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\run
 - mypoint_update.exe = C:\WINDOWS\system32\mypoint_update.exe
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Uninstall\mypoints
HKEY_LOCAL_MACHINE\SOFTWARE\mypoints

참고로 적립금 프로그램과 같은 리워드(Reward) 서비스에 대하여 안철수연구소에서 소개한 내용을 필독하시면 많은 도움이 되실리라 생각됩니다.

'벌새::Analysis' 카테고리의 다른 글

국내 악성코드 : 쇼핑 도우미로 위장한 Windows sxguide navigation (2010.9.9)  (4) 2010/09/09
Spam 이메일 : 태극기가 표시되는 가짜 Pharmacy Express 사이트  (1) 2010/09/07
국내 악성코드 : 마이포인트 - Windows MyPoints  (0) 2010/09/07
검색 도우미 : 옥션 쇼핑 도우미 - Auction Sidebar  (0) 2010/09/07
개인정보 보안 솔루션 : 인포홀드(InfoHold)  (0) 2010/09/06
악성코드 치료 프로그램 : 인터넷 백신(Internet Vaccine)  (0) 2010/09/05
Posted by 벌새
TAG , , , , , , , , , , , , , , , , , , , ,
트랙백 0, 댓글 0개가 달렸습니다

트랙백 주소 :: http://hummingbird.tistory.com/trackback/2404 관련글 쓰기