본문 바로가기

벌새::Analysis

적립금 프로그램 : 포인트IN(PointIN)

728x90
반응형
국내에서 제작된 적립금 프로그램 포인트IN(PointIN) 제품에 대해 살펴보도록 하겠습니다.

해당 프로그램의 Setup 설치 파일(MD5 : 5435f3d845242792ceaf646299aa303a)에 대하여 nProtect 보안 제품에서는 Trojan-Clicker/W32.Agent.231424.CG (VirusTotal : 34/41) 진단명으로 진단을 하고 있는 것을 확인할 수 있습니다.


[생성 파일 진단 정보]

C:\Program Files\pointin\pointin.exe (nProtect : Trojan-Clicker/W32.Agent.231424.CG)
C:\Program Files\pointin\uninstall.exe (AhnLab : Win-Trojan/Xema.variant)

해당 프로그램은 설치시 어떠한 설치 화면을 제공하지 않고 있으며, 윈도우 시작시 pointin.exe 파일을 시작 프로그램으로 등록하여 자동 실행되는 것을 확인할 수 있습니다.


프로그램이 설치된 환경에서 정상적인 Internet Explorer의 경우 기본값으로 존재하는 검색 공급자가 PointIN 프로그램이 설치된 환경에서는 그림과 같이 제거되는 것을 확인할 수 있습니다.

현재 배포 사이트에서는 사이트가 정상적인 서비스를 중지한 상태이며, 적립금 관련 동작이 없는 것으로 보이므로 사용자 컴퓨터에 설치된 경우 삭제를 권장합니다.


프로그램 삭제는 제어판의 [pointin] 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램이 삭제된 경우 정상적으로 Internet Explorer의 검색 공급자가 활성화 되는 것을 확인할 수 있습니다.

프로그램 삭제 후에는 추가적으로 [%Program Files%\pointin\uninstall.exe] 파일을 수동으로 삭제하시기 바랍니다.

또한 현재 해당 프로그램에 대하여 국내외 보안 제품에서 악성코드로 진단하고 있으므로, 보안 제품을 통한 추가적인 검사를 하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{75E2A4EE-006A-4386-9D11-570D63F29C0E}
HKEY_CLASSES_ROOT\pointin.Search
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{75E2A4EE-006A-4386-9D11-570D63F29C0E}
HKEY_CURRENT_USER\Software\pointin
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\InfoDelivery\Restrictions
 - NoSearchBox = 0x00000001 (1)
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions
 - NoNavBar = 0x00000000 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{75E2A4EE-006A-4386-9D11-570D63F29C0E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - pointin.exe = C:\Program Files\pointin\pointin.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pointin

[프로그램 설치 전 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{F2CF5485-4E02-4f68-819C-B92DE9277049}
 - (기본값) = &Links
HKEY_CLASSES_ROOT\CLSID\{F2CF5485-4E02-4f68-819C-B92DE9277049}\InProcServer32
 - (기본값) = C:\WINDOWS\system32\ieframe.dll

[프로그램 설치 후 레지스트리 변경 정보]

HKEY_CLASSES_ROOT\CLSID\{F2CF5485-4E02-4f68-819C-B92DE9277049}
 - (기본값) =
HKEY_CLASSES_ROOT\CLSID\{F2CF5485-4E02-4f68-819C-B92DE9277049}\InProcServer32
 - (기본값) = C:\PROGRA~1\pointin\pointin.dll

728x90
반응형