본문 바로가기

벌새::Analysis

검색 도우미 : 마이팝몰(MyPopMall)

국내에서 제작되어 사용자가 특정 검색어를 입력할 경우 상업적 목적의 팝업창을 통해 사이트를 생성하는 동작을 하는 검색 도우미 마이팝몰(MyPopMall) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 Windows 시작시 mpm.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로세스 정보를 살펴보면 mpm.exe 프로세스 실행을 통해 mypopmall.exe 프로세스를 생성하며, 2개의 프로세스는 메모리에 상주하도록 구성되어 있습니다.

해당 프로그램이 설치된 환경에서 특정 포털 사이트에서 검색을 시도할 경우 국내 웹하드 사이트와 관련된 팝업창이 추가적으로 생성되는 동작을 확인할 수 있었습니다.

프로그램 삭제시에는 작업 관리자에서 mpm.exe / mypopmall.exe 2개의 프로세스를 수동으로 종료한 후, 제어판의 [mypopmall] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - mypopmall = C:\Program Files\mypopmall\mpm.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\mypopmall
HKEY_LOCAL_MACHINE\software\mypopmall

검색어 입력으로 인해 특정 팝업창 생성 등의 동작으로 불편을 겪는 분들은 실행 중인 프로세스 확인, Internet Explorer 추가 기능 관리에 등록된 항목 확인을 통해 해당 광고 프로그램을 직접 찾아 문제를 해결하시기 바랍니다.


  • nonogirl 2010.12.02 09:30 댓글주소 수정/삭제 댓글쓰기

    작업관리자에서 수동으로 2개 파일을 지웠으나.
    제어판에서 NSIS Error라고 뜨면서 삭제가 되질 않네요..! ㅠㅠㅠㅠㅠ.
    어떻게 하면 되나요? ㅠ.ㅠ
    투투디스크 죽여버려..ㅠㅠㅠ..

    • NSIS 에러는 해당 프로그램을 삭제하도록 하는 삭제 파일이 깨진 것을 의미합니다.

      그러므로 프로그램에서 제공하는 삭제는 불가능하다는 의미이므로 수동으로 파일, 레지스트리를 제거하시기 바랍니다.

  • nonogirl 2010.12.13 03:26 댓글주소 수정/삭제 댓글쓰기

    레지스트리를 통해 삭제를 했음에도 불구하고
    다시 레지스트리로 들어가면 원인이 모르게 다시 떠져 있습니다.
    이 방법 외 msconfig.exe를 통해
    시작 프로그램에서 mpm을 체크 해지 했으나.
    재부팅 후 다른 경로로 mpm이 체크 되어 윈도우가 시작 되네요..
    ㅠㅠㅠㅠㅠㅠ. 정말 문외한 저로써는 벌새님가튼 지식인의 도움이 필요해여..
    ㅜㅜㅜ..

    • 안녕하세요.

      증상을 보니 이런 경우인 것 같습니다.

      해당 프로그램은 이 프로그램 자체만 설치되는 경우가 아니라 사용자가 실수 또는 사용자 몰래 어떤 프로그램을 설치하는 과정에서 함께 설치되는 방식입니다.

      그러므로 그렇게 설치를 유도하는 다른 프로그램을 찾아서 삭제를 함께 해야지 이 프로그램 삭제 후 재부팅했을 때 재설치가 이루어지지 않습니다.

      워낙 이런 프로그램이 다양한 경로를 통해 설치가 되어서 어떤 프로그램을 추가로 삭제하라고는 말하기 힘들지만 사용자 PC에 설치된 다른 프로그램 중 국내에서 제작된 프로그램은 의심을 해 보시기 바랍니다.

      물론 제어판 등에 목록으로 제공되지 않는 악성 파일이 설치되어 있을 수도 있습니다.

      이런 경우에는 국내 유명 보안 제품으로 검사하시기 바랍니다.(정밀 검사)

  • 하이티켓 팝업창 지우는방법 찾다가 들렸어요, 덕분에 삭제할수 있어서 정말 고맙습니다.
    다만 제가 포스트한글에도 적어놓았는데 하이티켓과 mypopmall의 상관관계를 알지못해 지우지못하는분들도 생각보다 있는것같아서 이참에 포스트했어요
    쉽게, 또 하고싶은 말도적으며~;;

    여튼 그래서 이미지1장하고 레지스트리 위치를 복사해서 갔습니다. 당연히 출처표시는 했구요, 그래도 알려드리는게 좋을것같아서 댓글 달아봅니다. 사실 인용하겠다고 말씀 드리는게 먼저인걸 아는데
    포스트는 뭔가 생각났을때 작성하는게 잘써지는것 같아서..미리 사용했습니다.
    혹시 언짢으시다면 삭제하겠습니다^^

    제가 포스트한곳은 http://blog.naver.com/kzlfl/122412638 입니다.

  • 감사합니다 2011.07.29 09:12 댓글주소 수정/삭제 댓글쓰기

    어제부터 갑자기 알약에서 <뭔가-_-;;>감염되었다고 해서 삭제를 하면 mypopmall이 종료되었다고 나오더라구요. 검색해도 찾기 어려웠는데 덕분에 잘 삭제하였습니다.
    이제 하이티켓 안볼 수 있겠네요^^ 감사합니다~~