본문 바로가기

벌새::Analysis

악성코드 치료 프로그램 : IP보안서비스(IPBoan)

반응형
● 1차 작성 : 2009년 10월 2일
● 2차 작성 : 2010년 8월 29일 - 업체 정보 변경 및 내용 수정

국내 삼육오커뮤니케이션즈 업체에서 서비스하는 유료 악성코드 치료 프로그램 IP보안서비스(IPBoan) 제품에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 62811d235fff2d106fd393c77d82ea25)에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Agent.eacb (VirusTotal : 22/41) 진단명으로 진단되고 있습니다.

참고로 다수의 해외 보안 제품에서 진단되는 것과 달리 국내 보안 제품에서는 진단 정책으로 인하여 악성코드로 진단되지 않는 것으로 보이므로 참고하시기 바랍니다.

[테스트 환경]

● OS : Windows XP SP3
● 설치 프로그램 : Setup 설치 파일 (MD5 : 62811d235fff2d106fd393c77d82ea25)

※ 해당 프로그램은 배포 방식 및 컴퓨터 환경에 따라 프로그램 정보가 다를 수 있습니다.
※ 해당 내용은 게시글 작성 일자 기준이므로 업체 정보가 변경될 수 있습니다.

1. 프로그램 설치 / 삭제 정보


1-1. 생성 폴더 / 파일 정보


해당 프로그램은 Windows 시작시 IPBoanUpdater.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 프로그램은 악성코드 검사를 하도록 구성되어 있습니다.

1-2. 레지스트리 생성 정보

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\IPBoan
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - IPBoan = C:\Program Files\IPBoan\IPBoanUpdater.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\IPBoan

1-3. 프로세스 정보


프로그램이 실행되면 IPBoan.exe 프로세스가 생성되는 것을 확인할 수 있습니다.

1-4. 관련 URL 정보

h**p://211.**.123.**/ipboan/install.php?mac=(사용자 Mac Address)&partner=ipboan&ver=
h**p://ip****.com/app/updateV2.asp
h**p://ip****.com/app/supdateV2.asp
h**p://ip****.com/app/bad?info.aspVn=&2007022300Kind=
h**p://211.**.123.**/ipboan/boot.php?mac=(사용자 Mac Address)&partner=ipboan&ver=
h**p://ip****.com/app/badinfo.asp?Vn=2005010101&Kind=file
h**p://s223.pc-*****.net/badlist/2010061700_badfile.dat
h**p://ip****.com/app/ip.php
h**p://211.**.123.**/ipboan/uninstall.php?mac=(사용자 Mac Address)&partner=ipboan&ver=

1-5. 삭제 정보


프로그램 삭제는 제어판의 [IP보안서비스] 삭제 항목을 이용하여 삭제하실 수 있습니다.

2. 제품 해지 신청 정보

해당 프로그램의 이용약관에서는 월정액(자동 연장 결제) 유료 사용자는 별도의 해지 신청이 없을 경우 5년 동안 매월 자동으로 이용요금을 청구하는 방식이므로 주의하시기 바랍니다.

1. 전화 : 1544-0181
2. 자동 연장 결제 해지 신청 : help@ipboan.com

위와 같은 방법으로 해지 신청이 되지 않을 시에는 휴대폰/ARS 결제중재센터 또는 신문고(휴대폰 소액결제 민원해결센터)를 통하여 문제를 해결하시기 바라며, 금전적 피해와 관련해서는 한국소비자원에 신고하여 구제를 받으시기 바랍니다. 기타 프로그램 삭제와 관련된 상담은 보호나라 e콜센터(전화 118번)안철수연구소 가짜 백신 신고센터(로그인 필요) 또는 국내 신뢰할 수 있는 보안 업체를 이용하시기 바랍니다.
반응형