울지않는벌새 : Security, Movie & Society

검색 도우미 : MyIP - miccimnmumsm.exe (2014.10.2)

벌새::PUP Info

 

IP 확인 기능을 제공하는 프로그램처럼 설치를 유도하여 인터넷 검색시 광고창 생성 및 업데이트 창 생성을 통한 추천 프로그램 설치를 유도하는 국내에서 제작된 검색 도우미 MyIP 프로그램에 대한 정보가 수집되어 공개해 드리도록 하겠습니다.

해당 프로그램은 기존에도 IP 확인 관련 프로그램처럼 프로그램 이름을 구성하여 광고 프로그램을 설치하던 "Windows IP View (XP,Win7,Win8)" 광고 프로그램 사례가 발견되고 있었으므로 참고하시기 바랍니다.

 

MyIP 변종 프로그램 정보

 

파일 경로

 C:\Program Files (x86)\MyIPCheck\config_theappl.dll

MD5

 C9819F632F3F5ADB2EF518AF92DF257F

진단명

 Gen:Variant.Adware.Symmi.39107 (BitDefender)

디지털 서명

 INSAFE

비고

 실행 모듈

 

파일 경로

 C:\Program Files (x86)\MyIPCheck\criteoable.toast

MD5

 68FC1ED5A1610D93D1ABC68B8CEA904B

진단명

 PUP/Win32.IntClient (AhnLab V3 365 Clinic)

파일 설명

 criteoable.toast

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\MyIPCheck\MWManagerM.dll

MD5

 E15F638E999108125B03C6BB8C2C009F

진단명

 PUP/Win32.MWManager (AhnLab V3 365 Clinic)

디지털 서명

 The A MEDIA

비고

 실행 모듈

 

파일 경로

 C:\Program Files (x86)\MyIPCheck\myipcheck.exe

MD5

 E40FF15A1FA8890D4399B0F189382A82

진단명

 Win32:Adware-BRI [Adw] (avast!)

디지털 서명

 INSAFE

파일 설명

 myipcheck.exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\MyIPCheck\myipchecks.exe

MD5

 2355DA91D1F41542483A62EEF2061EB6

진단명

 Generic.EE7 (AVG)

디지털 서명

 INSAFE

파일 설명

 myipchecks.exe

비고

 예약 작업(C:\Windows\Tasks\miccimnmumss.job) 등록 파일

 

파일 경로

 C:\Windows\miccimnmumsm.exe

MD5

 C3065C3B9C756A78FCED09610A32BFC2

진단명

 PUP/Win32.IntClient (AhnLab V3 365 Clinic)

디지털 서명

 INSAFE

파일 설명

 miccimnmumsm.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\miccimnmumsm

비고

 서비스(miccimnmumsm) 등록 파일

 

INSAFE 디지털 서명이 포함된 MyIP 광고 프로그램은 64비트 운영 체제 기준으로 "C:\Program Files (x86)\MyIPCheck" 폴더에 주요 파일을 생성하며, 프로그램 설치시 특정 서버에서 다운로드한 myipcheckm.exe 파일을 변종에 따라 다양한 파일명으로 자가 복제하여 Windows 폴더에 생성합니다.

  • 서비스(miccimnmumsm) 실행 : C:\Windows\miccimnmumsm.exe
  • 예약 작업(miccimnmumss.job) 실행 : C:\Program Files (x86)\MyIPCheck\myipchecks.exe

MyIP 프로그램이 설치된 환경에서는 시스템 시작시 서비스와 예약 작업에 등록된 시작점을 기반으로 프로그램 프로그램 업데이트를 통한 버전 체크 및 추가적인 광고 모듈 다운로드, 광고 구성값 체크를 통해 광고 기능을 수행하는 criteoable.toast, myipcheck.exe 파일을 실행하여 메모리에 상주시킵니다.

 

또한 특정 Windows 부팅 과정에서는 다양한 제휴 프로그램이 포함된 업데이트 창 생성을 통해 광고 프로그램의 설치를 유도하는 행위가 있을 수 있으므로 주의하시기 바랍니다.

 

이를 통해 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 추가적인 광고 모듈 실행을 통해 인터넷 검색 및 웹 사이트 접속 등의 동작시 다양한 광고창 생성이 이루어질 수 있으며, 인터넷 쇼핑몰(11번가) 바로가기 아이콘을 생성할 수 있을 것으로 추정됩니다.

 

기본적으로 해당 프로그램은 제어판에 등록된 "MyIP" 삭제 항목을 이용하여 삭제할 수 있으며, 만약 제어판에 표시되지 않는 경우에는 "C:\Program Files (x86)\MyIPCheck\myipcheck_unin.exe" 파일을 찾아 직접 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

또한 사용자의 필요에 따라 수동으로 프로그램 삭제를 원할 경우에는 다음과 같은 절차에 따라 제거를 하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "miccimnmumsm"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 명령어의 변수는 Windows 폴더에 생성된 다양한 파일명에 종속합니다.)

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 criteoable.toast, myipcheck.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 모두 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files (x86)\MyIPCheck
  • C:\Windows\miccimnmumsm.exe
  • C:\Windows\Tasks\miccimnmumss.job

MyIP 광고 프로그램은 설치 및 실행시 사용자 PC 환경을 체크하여 가상 환경, 분석 도구가 확인될 경우 설치가 이루어지지 않거나 광고 동작을 수행하지 않습니다.

그러므로 광고 프로그램의 설치 및 동작을 방해할 수 있는 방법을 제시하고 있으므로 관련 프로그램을 설치하여 사전 예방을 하시길 권장합니다.

 

또한 유사한 기능을 제공하는 GearExtention for Windows (x86,x64), IE Support for Windows, Intelligent, Internet Service Manager, Mouse Control Client, Mouse Control Service, Network ADView, Reflection Information Client x86, Windows Baro Visit, Windows GearExtion, Windows mouse protection release, Windows Reflection Service 등 다양한 변종 광고 프로그램이 기존부터 지속적으로 발견되고 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.