해당 프로그램이 설치될 경우 사용자 검색 키워드 감시를 통한 광고창 생성, 바탕화면과 즐겨찾기에 특정 인터넷 쇼핑몰 바로가기 생성 등 다양한 설치 파일이 유포되고 있는 것으로 보입니다.
여기에서는 사용자가 인터넷 검색시 광고창을 생성하는 SayPoint에 대해 살펴보도록 하겠으며, 설치 파일(MD5 : c6c19d09e81668bcdd80d46f7255a0ee)에 대하여 알약(ALYac) 보안 제품에서는 Adware.Generic.172696 (VirusTotal : 19/41) 진단명으로 진단되고 있습니다.
해당 프로그램의 설치 파일 유포 방식은 이전의 무료 문자 보내요(Boneyo) 프로그램을 이용한 방식으로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\Application Data\saypoint
C:\Documents and Settings\(사용자 계정)\Application Data\saypoint\domainrefer.dat
C:\Documents and Settings\(사용자 계정)\Application Data\saypoint\keycode.dat
C:\Program Files\saypoint
C:\Program Files\saypoint\saypoint.dll :: BHO 등록 파일
C:\Program Files\saypoint\saypointup.exe :: 시작 프로그램 등록 파일
C:\Program Files\saypoint\uninstall.exe :: 프로그램 삭제 파일
해당 프로그램은 프로그램 목록에 제시되는 점으로 인하여 사용자가 프로그램 설치 여부를 확인하기 어려우며, Windows 시작시 saypointup.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크를 하도록 구성되어 있습니다.
C:\Program Files\saypoint\saypoint.dll
- MD5 : 1808c92b9c52c8d0d70588849379a97c
- Hauri ViRobot : Adware.Agent.180224.V (VirusTotal : 13/42)
C:\Program Files\saypoint\saypointup.exe
- MD5 : 2e5393cba7d2176d14832a2b0dfe2d70
- Kaspersky : Trojan-Downloader.Win32.Agent.fybl (VirusTotal : 16/42)
프로그램이 설치된 환경에서 사용자가 인터넷 검색시 그림과 같은 다양한 광고창이 생성되는 동작을 확인할 수 있습니다.
광고창 생성시 접속 로그를 확인해보면 특정 광고 코드가 포함되어 있으며, 사용자가 해당 광고창을 통해 특정 조건을 만족시킬 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.
프로세스 정보를 살펴보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 saypoint.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
또한 추가적으로 explorer.exe 프로세스에도 해당 파일이 추가되어 사용자가 수동으로 삭제하기 어려울 수 있습니다.
saypointBho Class
- 게시자 : 알 수 없음
- CLSID : {F73484B9-8705-4D28-871B-DA762510768D}
- 파일 : C:\Program Files\saypoint\saypoint.dll
그러므로 Internet Explorer 웹 브라우저의 [추가 기능 관리 - 도구 모음 및 확장 프로그램] 항목에서 saypointBho Class 컨트롤을 선택하여 우측 하단의 [사용 안 함] 버튼을 반드시 클릭을 하시고 삭제를 진행하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 제어판의 [saypoint] 삭제 항목을 이용하여 삭제하실 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TabbedBrowsing
- ShortcutBehavior = 0
HKEY_CURRENT_USER\Software\saypoint
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\saypoint.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{B33F3ED9-FC87-49FB-B4E5-1155D938AB18}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F73484B9-8705-4D28-871B-DA762510768D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E0ED4E49-2C91-42D7-AF57-67316356A95A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1B6722AB-3CF8-48EF-BB38-06B172A24B4E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\saypoint.saypointBho
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\saypoint.saypointBho.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{F73484B9-8705-4D28-871B-DA762510768D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- saypoint = C:\Program Files\saypoint\saypointup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
saypoint uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\saypoint_shop
인터넷 사용시 원치 않는 광고창 생성으로 고생하시는 분들은 참고하시기 바라며, 프로그램을 설치하실 때에는 설치 단계에서 꼼꼼하게 확인하는 습관과 함께 신뢰할 수 없는 프로그램은 추가적으로 계속적인 프로그램 설치가 이루어질 수 있으므로 주의하시기 바랍니다.