본문 바로가기

벌새::Analysis

[삭제] MicrosoftToppoint

국내에서 제작된 광고 프로그램 중 마이크로소프트(Microsoft) 업체 프로그램으로 위장을 하고 있으며, 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드를 추가하는 MicrosoftToppoint 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 979ba6ae9b857c316542b4f9f681ef84)에 대하여 Dr.Web 보안 제품에서는 Trojan.BhoSiggen.5797 (VirusTotal : 6/40) 진단명으로 진단되고 있습니다. 

   국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (2012.4.4)

 

  검색 도우미 : Window naverdown (2012.5.12)

 

특히 설치 파일에 추가된 디지털 서명 "keimc"는 기존에 다양한 형태로 유포되는 사례가 발견되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\data.db
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\makeguid.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\MicrosoftClear.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\MicrosoftToppoint_v5.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\microsofttoppoint.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\microsofttoppoint.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\sqlite3.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\unins000.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\unins000.exe

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\MicrosoftToppoint_v5.dll
 - MD5 : 481f80436f74065f458dfa4aa66a9e4d
 - AhnLab V3 : Win-PUP/Helper.MicrosoftToppoint.420856 (VirusTotal : 2/41)

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\microsofttoppoint.exe
 - MD5 : 774e1c9cb29277301f0b1ad16da0534c
 - AhnLab V3 : Win-PUP/Helper.MicrosoftToppoint.475096 (VirusTotal : 3/40)

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가지는 폴더 내부의 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint" 폴더에 파일을 생성합니다.

GET /microsofttoppoint.ts1 HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Setup Factory
Host: update.microsofttoppoint.com
Connection: Keep-Alive
Cache-Control: no-cache

Windows 시작시 microsofttoppoint.exe 파일을 시작 프로그램으로 등록하여 업데이트 서버로부터 파일 체크 기능을 하도록 구성되어 있습니다. 

프로그램이 설치된 환경에서 사용자가 프로그램이 지정된 인터넷 쇼핑몰(예, 11번가 등)에 접속할 경우 사용자 몰래 광고 코드(cl.ilikeclick.com)를 추가하여 금전적 수익을 창출하는 동작을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : MicrosoftToppoint Class

게시자 : keimc

유형 : 브라우저 도우미 개체

CLSID : {B5EDCF0F-DEB2-41BF-BAFE-C6D1B7BE6421}

파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\MicrosoftToppoint_v5.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 MicrosoftToppoint_v5.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 프로그램에서 지정한 인터넷 쇼핑몰 접속시 광고 코드를 추가하는 동작을 합니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "MicrosoftToppoint Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

해당 프로그램은 제어판을 통한 삭제 기능을 제공하지 않으며, 생성된 파일 중 삭제 기능을 제공하는 것으로 보이는 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\unins000.exe" 파일을 수동으로 실행하여도 프로그램이 삭제되는 척만 합니다.(※ 실제 삭제를 시도하면 unins000.dat, unins000.exe 2개의 파일만 삭제하며, 지속적으로 정상적인 프로그램 기능을 수행합니다.)

 

그러므로 해당 프로그램의 삭제를 위해서는 다음과 같은 절차에 따라 수동으로 삭제를 진행하시기 바랍니다. 

우선 폴더 옵션에서 "숨김 파일 및 폴더 표시" 항목에 체크를 하시고 폴더(파일)을 찾으시기 바라며, 반드시 Internet Explorer 웹 브라우저를 완전히 종료한 상태에서 진행하시기 바랍니다.

 

(1) "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint" 폴더를 수동으로 삭제하시기 바랍니다.

 

(2) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 수동으로 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\AppDataLow\MicrosoftToppoint
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MicrosoftToppoint = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MicrosoftToppoint\microsofttoppoint.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B5EDCF0F-DEB2-41BF-BAFE-C6D1B7BE6421}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B5EDCF0F-AAB2-41BF-BAFE-C6D1B7BE6421}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MicrosoftToppoint.MicrosoftToppoint
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AA0E4D5E-AA2E-45E8-8893-749E0AFEEA4F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects\{B5EDCF0F-DEB2-41BF-BAFE-C6D1B7BE6421}

 

해당 프로그램은 2012년 3월경부터 1.0.0.1(MicrosoftToppoint_v1.dll)이 발견되었으며 현재 1.0.0.5(MicrosoftToppoint_v5.dll) 버전까지 존재하는 것으로 보입니다.

  • MicrosoftToppoint_v1.dll (MD5 : 1986727d7fd30492a910a12703b42c53) - Hauri ViRobot : Trojan.Win32.S.BHO.415192 (VirusTotal : 3/40)
  • MicrosoftToppoint_v2.dll (MD5 : fe2ff28c4d86ad345b91831942dfb743)
  • MicrosoftToppoint_v3.dll (MD5 : bc61efb9c44d284da704b7c803f91bc9)
  • MicrosoftToppoint_v4.dll (MD5 : 68a0c9c9cf7e28b0e6c869d12da07431)

그러므로 차후에도 지속적으로 업데이트를 통해 프로그램이 변형될 것으로 추정되므로 주의하시기 바랍니다.