728x90
반응형
국내에서 제작된 적립금 프로그램 포인트마니(PointMani) 제품에 대해 살펴보도록 하겠습니다.
해당 프로그램은 ActiveX 설치 방식 또는 타 인터넷 서비스의 제휴(스폰서) 프로그램으로 배포가 이루어지는 것으로 보입니다.
프로그램의 정상적인 이용을 위해서는 제작사 사이트 회원 가입을 통한 적립금 관련 동작이 필요하므로 단순히 프로그램 설치를 한 경우에는 시스템 자원 낭비 및 다양한 오류 발생이 있을 수 있으므로 사용자의 판단에 따라 삭제를 하시기 바랍니다.
해당 프로그램이 설치된 환경에서는 BitDefender 엔진을 사용하는 보안 제품을 사용할 경우 메모리에 상주하는 pmagent.exe 파일을 악성코드로 진단하는 것을 확인할 수 있으며, 일부 파일에 대해 사전 진단을 하는 보안 제품이 존재합니다.
Windows 시작시 pupdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, pmagent.exe 파일을 메모리에 상주하여 동작하고 있습니다.
프로그램 제작사에서 안내하는 적립 관련 쇼핑몰에 접근을 할 경우 반드시 해당 프로그램 제작사 회원 가입을 통한 로그인 과정을 거쳐야 적립이 발생하는 것으로 보입니다.
또한 구글(Google) 검색을 통해 해당 사이트에 접근시 프로그램 설치로 인해 추가된 제작사 도메인으로 인하여 신뢰할 수 있는 사이트를 열도록 허용할지 여부를 묻는 보안 경고창이 생성되는 것을 확인할 수 있습니다.
프로세스 정보를 살펴보면 Windows 시작과 함께 pmagent.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 pbho.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 반드시 작업 관리자에서 pmagent.exe 프로세스를 수동으로 종료한 후, Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [pointmani] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 과정에서는 그림과 같은 현재 적립금 표시 등을 제시하고 있으며, 최종적인 삭제를 원할 경우에는 하단의 [삭제] 버튼을 클릭하시기 바랍니다.
만약 제어판의 삭제 항목이 존재하지 않을 경우에는 [시작 - 실행] 메뉴를 통해 ["C:\Program Files\pointmani\pupdate.exe" REMOVE] 명령어를 입력하여 삭제를 하실 수 있습니다.
해당 프로그램이 제휴 프로그램 등의 방식으로 설치된 환경에서는 프로그램 목록 등에서 프로그램 존재를 확인할 수 없으며, 제작사도 제대로 확인이 불가능한 것으로 보이므로 실제 회원 가입을 통한 정상적인 이용이 아닌 경우에는 보안 프로그램의 진단 문제와 원치않는 시스템 자원 낭비 등이 예상되므로 삭제를 권장합니다.
해당 프로그램은 ActiveX 설치 방식 또는 타 인터넷 서비스의 제휴(스폰서) 프로그램으로 배포가 이루어지는 것으로 보입니다.
프로그램의 정상적인 이용을 위해서는 제작사 사이트 회원 가입을 통한 적립금 관련 동작이 필요하므로 단순히 프로그램 설치를 한 경우에는 시스템 자원 낭비 및 다양한 오류 발생이 있을 수 있으므로 사용자의 판단에 따라 삭제를 하시기 바랍니다.
[생성 파일 진단 정보]
C:\Program Files\pointmani\pbho.dll (AhnLab : Malware/Win32.Generic)
C:\Program Files\pointmani\pmagent.exe (BitDefender : Trojan.Generic.3809968)
C:\Program Files\pointmani\pbho.dll (AhnLab : Malware/Win32.Generic)
C:\Program Files\pointmani\pmagent.exe (BitDefender : Trojan.Generic.3809968)
해당 프로그램이 설치된 환경에서는 BitDefender 엔진을 사용하는 보안 제품을 사용할 경우 메모리에 상주하는 pmagent.exe 파일을 악성코드로 진단하는 것을 확인할 수 있으며, 일부 파일에 대해 사전 진단을 하는 보안 제품이 존재합니다.
Windows 시작시 pupdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, pmagent.exe 파일을 메모리에 상주하여 동작하고 있습니다.
프로그램 제작사에서 안내하는 적립 관련 쇼핑몰에 접근을 할 경우 반드시 해당 프로그램 제작사 회원 가입을 통한 로그인 과정을 거쳐야 적립이 발생하는 것으로 보입니다.
또한 구글(Google) 검색을 통해 해당 사이트에 접근시 프로그램 설치로 인해 추가된 제작사 도메인으로 인하여 신뢰할 수 있는 사이트를 열도록 허용할지 여부를 묻는 보안 경고창이 생성되는 것을 확인할 수 있습니다.
프로세스 정보를 살펴보면 Windows 시작과 함께 pmagent.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 pbho.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 반드시 작업 관리자에서 pmagent.exe 프로세스를 수동으로 종료한 후, Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [pointmani] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 과정에서는 그림과 같은 현재 적립금 표시 등을 제시하고 있으며, 최종적인 삭제를 원할 경우에는 하단의 [삭제] 버튼을 클릭하시기 바랍니다.
만약 제어판의 삭제 항목이 존재하지 않을 경우에는 [시작 - 실행] 메뉴를 통해 ["C:\Program Files\pointmani\pupdate.exe" REMOVE] 명령어를 입력하여 삭제를 하실 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{00000000-FDB2-4585-BBB7-AC86808E3425}
HKEY_CLASSES_ROOT\CLSID\{A2C2CD29-AB2D-48C3-83A2-7B4CEB6528B3}
HKEY_CLASSES_ROOT\Interface\{6B333410-5AAB-44C0-89A5-ED1C3FBDB206}
HKEY_CLASSES_ROOT\Interface\{D868CAD1-2A82-41DF-90FB-A2FE34187D02}
HKEY_CLASSES_ROOT\pax.PointmaniFormX
HKEY_CLASSES_ROOT\TypeLib\{F4E577A6-9B3A-4841-8635-C56195578D8E}
HKEY_CLASSES_ROOT\{00000000-FDB2-4585-BBB7-AC86808E3425}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microurl.co.kr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pointmani.com
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000000-FDB2-4585-BBB7-AC86808E3425}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- pointmani = C:\Program Files\pointmani\pupdate.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\pointmani
HKEY_LOCAL_MACHINE\software\Pointmani
HKEY_LOCAL_MACHINE\software\pointmaniUpdate
HKEY_CLASSES_ROOT\CLSID\{00000000-FDB2-4585-BBB7-AC86808E3425}
HKEY_CLASSES_ROOT\CLSID\{A2C2CD29-AB2D-48C3-83A2-7B4CEB6528B3}
HKEY_CLASSES_ROOT\Interface\{6B333410-5AAB-44C0-89A5-ED1C3FBDB206}
HKEY_CLASSES_ROOT\Interface\{D868CAD1-2A82-41DF-90FB-A2FE34187D02}
HKEY_CLASSES_ROOT\pax.PointmaniFormX
HKEY_CLASSES_ROOT\TypeLib\{F4E577A6-9B3A-4841-8635-C56195578D8E}
HKEY_CLASSES_ROOT\{00000000-FDB2-4585-BBB7-AC86808E3425}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microurl.co.kr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pointmani.com
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000000-FDB2-4585-BBB7-AC86808E3425}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- pointmani = C:\Program Files\pointmani\pupdate.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\pointmani
HKEY_LOCAL_MACHINE\software\Pointmani
HKEY_LOCAL_MACHINE\software\pointmaniUpdate
해당 프로그램이 제휴 프로그램 등의 방식으로 설치된 환경에서는 프로그램 목록 등에서 프로그램 존재를 확인할 수 없으며, 제작사도 제대로 확인이 불가능한 것으로 보이므로 실제 회원 가입을 통한 정상적인 이용이 아닌 경우에는 보안 프로그램의 진단 문제와 원치않는 시스템 자원 낭비 등이 예상되므로 삭제를 권장합니다.
728x90
반응형