본문 바로가기

벌새::Analysis

적립금 프로그램 : 포인트 마루(Point Maru)

국내에서 제작된 적립금 프로그램 포인트 마루(Point Maru)에 대해 살펴보도록 하겠습니다.

생성 폴더, 파일 정보


[생성 파일 진단 정보]

C:\Program Files\Pointmaru\IEService.exe (ALYac : Trojan.Generic.2019685)
C:\Program Files\Pointmaru\kdistll.dll (ALYac : Trojan.Generic.2158394)
C:\Program Files\Pointmaru\kdistll.exe (nProtect : Trojan/W32.Agent.360448.V)

제작사에서 배포하는 설치 파일을 통해 생성된 파일 일부를 국내외 보안제품에서 악성코드로 진단하는 것을 확인할 수 있습니다.

해당 프로그램은 사용자가 Internet Explorer를 동작할 경우 IEService.exe 프로세스를 생성하는 동작을 하고 있으며, 해당 프로세스는 국내 온라인 쇼핑과 관련된 코드를 통해 수익을 창출하는 것으로 추정됩니다.



[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - kdistll = C:\Program Files\Pointmaru\kdistll.exe
 - update_pmaru = C:\Program Files\Pointmaru\Pointmaru_update.exe


프로그램이 설치된 환경에서는 윈도우 시작과 함께 kdistll.exe / Pointmaru_update.exe 파일이 실행되도록 구성되어 있습니다.


프로그램의 삭제는 제어판의 [Pointmaru] 삭제 항목을 지원하지만, 해당 기능을 통해 삭제를 시도할 경우 해당 제작사 특정 페이지로 이동하여 그림과 같이 적립금과 관련된 확인 과정을 거쳐 사용자가 삭제를 선택한 경우 ActiveX 방식으로 프로그램을 삭제하고 있습니다.

실제 처음 프로그램을 설치한 상태에서 회원 가입을 하지 않은 경우에도 적립금이 누적은 되므로, 사용자가 쇼핑 등과 관련된 활동을 통해 회원 가입을 하지 않고 프로그램을 삭제할 경우 해당 적립금은 제작사에 귀속되는 것이 아닌가 생각됩니다. 그러므로 해당 프로그램을 이용하지 않는다면 반드시 프로그램을 삭제하는 것이 좋을 것으로 생각됩니다.


참고로 프로그램이 지원하는 삭제 방식을 이용할 경우 웹 상에서 ActiveX 방식으로 파일을 실행하는데, Internet Explorer가 동작하면 IEService.exe 프로세스가 상주하므로 그림과 같은 삭제 과정에서 오류가 발생하여 끊임없는 창을 생성하게 되므로 삭제시에는 제거창이 생성되면 반드시 Internet Explorer를 종료한 후 삭제를 진행하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\Pointmaru.DLL
HKEY_CLASSES_ROOT\AppID\{4AC6D143-6D09-4ED3-BD8A-6F903CD723F0}
HKEY_CLASSES_ROOT\CLSID\{43F3FD07-A9CE-4651-8801-BAEC76918162}
HKEY_CLASSES_ROOT\CLSID\{63216904-6E3B-4BE3-AC1E-5E905E7D78DB}
HKEY_CLASSES_ROOT\CLSID\{C1F00114-41F8-46A5-80BB-FF2A4B179A21}
HKEY_CLASSES_ROOT\Interface\{5283D9AC-6E06-4CD9-92B6-9B81858B0ECC}
HKEY_CLASSES_ROOT\Interface\{9A1DAF09-F96F-4851-A552-91C475A8EBBA}
HKEY_CLASSES_ROOT\Interface\{C4CE8C98-2B29-449A-BF39-D7DE78CF3B64}
HKEY_CLASSES_ROOT\Pointmaru.PointmaruBHO
HKEY_CLASSES_ROOT\Pointmaru.PointmaruBHO.1
HKEY_CLASSES_ROOT\POINTMARUAX.PointmaruAXCtrl.1
HKEY_CLASSES_ROOT\TypeLib\{1601F70E-8C74-4C3B-9FE1-85E8B82EE6B2}
HKEY_CLASSES_ROOT\TypeLib\{D9B76104-22DB-4457-A8ED-3BB7E7F3DC6A}
HKEY_CURRENT_USER\software\Pointmaru
HKEY_LOCAL_MACHINE\software\Classes\AppID\Pointmaru.DLL
HKEY_LOCAL_MACHINE\software\Classes\AppID\{4AC6D143-6D09-4ED3-BD8A-6F903CD723F0}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{43F3FD07-A9CE-4651-8801-BAEC76918162}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{63216904-6E3B-4BE3-AC1E-5E905E7D78DB}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C1F00114-41F8-46A5-80BB-FF2A4B179A21}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{5283D9AC-6E06-4CD9-92B6-9B81858B0ECC}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9A1DAF09-F96F-4851-A552-91C475A8EBBA}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{C4CE8C98-2B29-449A-BF39-D7DE78CF3B64}
HKEY_LOCAL_MACHINE\software\Classes\Pointmaru.PointmaruBHO
HKEY_LOCAL_MACHINE\software\Classes\Pointmaru.PointmaruBHO.1
HKEY_LOCAL_MACHINE\software\Classes\POINTMARUAX.PointmaruAXCtrl.1
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{1601F70E-8C74-4C3B-9FE1-85E8B82EE6B2}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{D9B76104-22DB-4457-A8ED-3BB7E7F3DC6A}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63216904-6E3B-4BE3-AC1E-5E905E7D78DB}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{43F3FD07-A9CE-4651-8801-BAEC76918162}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - kdistll = C:\Program Files\Pointmaru\kdistll.exe
 - update_pmaru = C:\Program Files\Pointmaru\Pointmaru_update.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\1
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\Pointmaru uninstall
HKEY_LOCAL_MACHINE\software\Pointmaru