본문 바로가기

벌새::Analysis

적립금 프로그램 : 포인트마니(PointMani)

반응형
국내에서 제작된 적립금 프로그램 포인트마니(PointMani) 제품에 대해 살펴보도록 하겠습니다.

해당 프로그램은 ActiveX 설치 방식 또는 타 인터넷 서비스의 제휴(스폰서) 프로그램으로 배포가 이루어지는 것으로 보입니다.

프로그램의 정상적인 이용을 위해서는 제작사 사이트 회원 가입을 통한 적립금 관련 동작이 필요하므로 단순히 프로그램 설치를 한 경우에는 시스템 자원 낭비 및 다양한 오류 발생이 있을 수 있으므로 사용자의 판단에 따라 삭제를 하시기 바랍니다.


[생성 파일 진단 정보]

C:\Program Files\pointmani\pbho.dll (AhnLab : Malware/Win32.Generic)
C:\Program Files\pointmani\pmagent.exe (BitDefender : Trojan.Generic.3809968)

해당 프로그램이 설치된 환경에서는 BitDefender 엔진을 사용하는 보안 제품을 사용할 경우 메모리에 상주하는 pmagent.exe 파일을 악성코드로 진단하는 것을 확인할 수 있으며, 일부 파일에 대해 사전 진단을 하는 보안 제품이 존재합니다.

Windows 시작시 pupdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, pmagent.exe 파일을 메모리에 상주하여 동작하고 있습니다.


프로그램 제작사에서 안내하는 적립 관련 쇼핑몰에 접근을 할 경우 반드시 해당 프로그램 제작사 회원 가입을 통한 로그인 과정을 거쳐야 적립이 발생하는 것으로 보입니다.


또한 구글(Google) 검색을 통해 해당 사이트에 접근시 프로그램 설치로 인해 추가된 제작사 도메인으로 인하여 신뢰할 수 있는 사이트를 열도록 허용할지 여부를 묻는 보안 경고창이 생성되는 것을 확인할 수 있습니다.


프로세스 정보를 살펴보면 Windows 시작과 함께 pmagent.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 pbho.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.


프로그램 삭제시에는 반드시 작업 관리자에서 pmagent.exe 프로세스를 수동으로 종료한 후, Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [pointmani] 삭제 항목을 이용하여 삭제하실 수 있습니다.


프로그램 삭제 과정에서는 그림과 같은 현재 적립금 표시 등을 제시하고 있으며, 최종적인 삭제를 원할 경우에는 하단의 [삭제] 버튼을 클릭하시기 바랍니다.


만약 제어판의 삭제 항목이 존재하지 않을 경우에는 [시작 - 실행] 메뉴를 통해 ["C:\Program Files\pointmani\pupdate.exe" REMOVE] 명령어를 입력하여 삭제를 하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{00000000-FDB2-4585-BBB7-AC86808E3425}
HKEY_CLASSES_ROOT\CLSID\{A2C2CD29-AB2D-48C3-83A2-7B4CEB6528B3}
HKEY_CLASSES_ROOT\Interface\{6B333410-5AAB-44C0-89A5-ED1C3FBDB206}
HKEY_CLASSES_ROOT\Interface\{D868CAD1-2A82-41DF-90FB-A2FE34187D02}
HKEY_CLASSES_ROOT\pax.PointmaniFormX
HKEY_CLASSES_ROOT\TypeLib\{F4E577A6-9B3A-4841-8635-C56195578D8E}
HKEY_CLASSES_ROOT\{00000000-FDB2-4585-BBB7-AC86808E3425}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microurl.co.kr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\pointmani.com
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000000-FDB2-4585-BBB7-AC86808E3425}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - pointmani = C:\Program Files\pointmani\pupdate.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\pointmani
HKEY_LOCAL_MACHINE\software\Pointmani
HKEY_LOCAL_MACHINE\software\pointmaniUpdate

해당 프로그램이 제휴 프로그램 등의 방식으로 설치된 환경에서는 프로그램 목록 등에서 프로그램 존재를 확인할 수 없으며, 제작사도 제대로 확인이 불가능한 것으로 보이므로 실제 회원 가입을 통한 정상적인 이용이 아닌 경우에는 보안 프로그램의 진단 문제와 원치않는 시스템 자원 낭비 등이 예상되므로 삭제를 권장합니다.
728x90
반응형