제휴(스폰서) 프로그램 : CheckIP

IP 체크 기능을 제공하는 프로그램으로 설치되어 불필요한 프로그램(PUP) 설치를 유도할 수 있는 국내에서 제작된 CheckIP 프로그램<SHA-1 : 163fd7da3ba9b1ec64ac8902c5f41f982692be94 - AhnLab V3 365 Clinic : PUP/Win32.BrowserShot.R164244 (VT : 6/56)>에 대해 살펴보도록 하겠습니다.

• 웹 브라우저 종료 프로그램으로 위장한 BrowserShot 악성 프로그램 주의 (2015.7.19)

• "Application Error" 오류창을 생성하는 BrowserShot 프로그램 제거 방법 (2015.9.5)

• 제휴(스폰서) 프로그램 : BrowserShot - BSUpdate (2015.9.16)

해당 프로그램은 유사한 기능을 가진 BrowserShot 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\checkip
C:\Program Files\checkip\checkip.ip
C:\Program Files\checkip\checkipu.exe :: 시작 프로그램(CheckIP) 등록 파일
C:\Program Files\checkip\CheckMyIP.exe :: "MY IP" 프로그램 실행 파일
C:\Program Files\checkip\uninstallmyip.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\checkip\checkipu.exe
 - SHA-1 : 1e605886e2b4be0f59eb50fc59ab67925ecb52f2
 - 알약(ALYac) : Trojan.GenericKD.2719322 (VT : 29/56)

 

C:\Program Files\checkip\CheckMyIP.exe
 - SHA-1 : f1489ca0a7dcf3c5c52f29a8c03c2ad19eea335b
 - 알약(ALYac) : Trojan.GenericKD.2719323 (VT : 25/56)

 

C:\Program Files\checkip\uninstallmyip.exe
 - SHA-1 : 5d911a15040d20cd79f8fdf6551e65af7ef5659f
 - 알약(ALYac) : Trojan.GenericKD.2721444 (VT : 15/56)

"Good Ad Comms." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\checkip" 폴더에 파일을 생성합니다.

외형적으로는 사용자가 "C:\Program Files\checkip\CheckMyIP.exe" 파일을 찾아 직접 실행할 경우 "MY IP" 프로그램 실행을 통해 Local IP, Internet IP 정보를 체크할 수 있는 프로그램처럼 구성되어 있지만 실질적으로 CheckIP 프로그램은 다음과 같은 목적으로 배포가 이루어지고 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - CheckIP = C:\Program Files\checkip\checkipu.exe

Windows 시작시 CheckIP 시작 프로그램 등록값을 이용하여 "C:\Program Files\checkip\checkipu.exe" 파일(My IP Check and Update)을 자동 실행하도록 구성되어 있습니다.

자동 실행된 checkipu.exe 파일은 시작 프로그램 등록값 체크 및 특정 서버에서 프로그램 업데이트 정보를 체크하며, 추가적인 제휴 프로그램 구성값이 포함되어 있을 경우 다양한 광고 프로그램을 설치할 수 있으므로 주의하시기 바랍니다.

• h**p://myip.check**.kr/checkip/Syncmon.exe

또한 서버에 Syncmon.exe 파일이 추가되어 있는 경우 사용자 몰래 다운로드 및 실행되어 "C:\Program Files\Tred3\Syncmon.exe" 파일로 생성될 수 있습니다.

• 제휴(스폰서) 프로그램 : TredSyncmon - Tred3 (2015.9.16)

해당 프로그램은 BrowserShot의 또 다른 변종 중의 하나인 TredSyncmon 계열이며, 이를 통해 "SyncroMonitorService (표시 이름 : SyncroMonitorService)" 서비스 등록을 통해 시스템 시작시 자동 실행되도록 등록되어 "TredSyncmon - Tred3" 프로그램을 자동 설치할 것으로 추정됩니다.

 

■ CheckIP 프로그램 삭제 방법

 

해당 프로그램은 제어판에 등록된 CheckIP 삭제 항목을 이용하여 프로그램 제거를 할 수 있도록 구성되어 있습니다.

Exception EInOutError in module uninstallmyip.exe at 0022E1CA.
Invalid file name - %s.

하지만 실제 삭제를 진행할 경우 "C:\Program Files\checkip\uninstallmyip.exe" 파일 실행 과정에서 "Application Error" 오류창을 생성하며 제거가 이루어지지 않습니다.

 

그러므로 정상적인 제거를 위해서는 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.

 

(a) "C:\Program Files\checkip" 폴더를 찾아 삭제하시기 바랍니다.

 

(b) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\CheckIP
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - CheckIP = C:\Program Files\checkip\checkipu.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\CheckIP

 

CheckIP 프로그램은 차후 원치않는 광고 프로그램 배포 통로로 활용될 가능성이 매우 높으며, 프로그램 삭제가 정상적으로 진행되지 않도록 제작되어 제거에 어려움을 겪을 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

[관련글 보기]

 

☞ 제휴(스폰서) 프로그램 : TredSyncmon - Tred (2015.9.16)

 

☞ 제휴(스폰서) 프로그램 : BSCheckIt (2015.9.17)