본문 바로가기

벌새::Analysis

국내 악성코드 : 마이포인트 - Windows MyPoints

국내에서 적립금 프로그램으로 배포가 이루어지고 있는 악성코드 [마이포인트 - Windows MyPoints]에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : ec76a22938bd1c3a4e7631d9db22552a)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Adware/Win32.DirectWeb (VirusTotal : 15/43) 진단명으로 진단되고 있습니다.

일반적으로 적립금 프로그램은 해당 서비스 업체에 회원 가입을 통해 적립된 포인트를 현금으로 환급할 수 있는 시스템이지만, 해당 프로그램이 설치된 환경에서는 사용자 몰래 광고 코드가 추가되어 회원 가입과 상관없이 프로그램 배포자에게 수익이 발생할 수 있는 것으로 추정됩니다.


[생성 파일 진단 정보]

C:\Program Files\mypoints\mypoint.exe (MD5 : ddb1f746ca0126086018106f060e850a)
 - AhnLab V3 : Trojan/Win32.Agent (VirusTotal : 24/43)

C:\Program Files\mypoints\mypoint_delete.exe (MD5 : dbf15b771548eb54d71ab417567198d5)
 - AhnLab V3 : Win-Trojan/Xema.variant (VirusTotal : 33/43)

C:\WINDOWS\system32\mypoint_update.exe (MD5 : a788c27724f310063ee7ac80f0305ab3)
 - AhnLab V3 : Win-Trojan/Xema.variant (VirusTotal : 26/43)

해당 프로그램은 설치 초기에 Windows 시작시 mypoint_update.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[시스템 재부팅 후 추가 생성 파일 진단 정보]

C:\WINDOWS\system32\mypoint_delete.exe (MD5 : 80b1cb56de3f0b48ece600905ce1f042)
 - AhnLab V3 : Adware/Win32.DirectWeb (VirusTotal : 33/42)

C:\WINDOWS\system32\mypoint_update.exe2 (MD5 : e1803ef7a3e6be1d5b17894244550ee6)
 - AhnLab V3 : Adware/Win32.DirectWeb (VirusTotal : 31/43)

해당 프로그램이 설치된 환경에서는 사용자가 웹 브라우저를 통한 특정 검색을 시도할 경우 프로그램에서 제공하는 광고 코드가 포함된 URL을 포함하여 접속을 시도하거나, 야후(Yahoo) 검색 납치 등의 동작을 확인할 수 있습니다.


특히 옥션(Auction) 검색을 시도할 경우 그림과 같이 해당 적립금 프로그램 가입 여부와 상관없이 수익이 발생할 수 있는 광고 코드를 포함하여 바로 접속이 이루어지는 동작을 확인할 수 있습니다.


프로그램 삭제시에는 작업 관리자에서 mypoint.exe 또는 mypoint_update.exe 프로세스가 존재할 경우 수동으로 종료한 후, 제어판의 [Windows mypoints] 삭제 항목을 제공하고 있는 것을 확인할 수 있습니다.


삭제 단계에서는 그림과 같은 마이포인트 삭제 관련 안내창이 생성되며, 자칫 해당 안내창에서 삭제 방법을 찾지 못할 수도 있어 보입니다.


해당 프로그램 삭제는 안내창의 스크롤바를 하단으로 더 내려야지 숨어있는 삭제 버튼을 발견할 수 있으므로 참고하시기 바랍니다.

하지만, 보안 제품에서는 해당 프로그램의 삭제 파일(mypoint_delete.exe) 역시 악성코드로 진단을 하고 있으며, 실제 프로그램 삭제를 시도하였을 경우 레지스트리 등록값이 제대로 제거되지 않는 것으로 보이므로 보안 제품을 통한 삭제 및 수동 삭제 방법을 이용하시길 권장합니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\run
 - mypoint_update.exe = C:\WINDOWS\system32\mypoint_update.exe
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Uninstall\mypoints
HKEY_LOCAL_MACHINE\SOFTWARE\mypoints

참고로 적립금 프로그램과 같은 리워드(Reward) 서비스에 대하여 안철수연구소에서 소개한 내용을 필독하시면 많은 도움이 되실리라 생각됩니다.