본문 바로가기

벌새::Analysis

적립금 프로그램 : 네오포인트(NeoPoint)

반응형


적립금 프로그램 네오포인트(NeoPoint) 서비스에 대해 살펴보도록 하겠습니다.

해당 프로그램은 서비스 업체에서 밝히고 있듯이 애드웨어 종류로 분류되고 있지는 않습니다. 하지만 프로그램 상의 문제점이 확인되어 작성되는 것이므로 만약 해당 프로그램이 원치않게 설치되어 삭제 과정에서 고생하시는 분들에게 도움을 주고자 작성하는 것임을 밝힙니다.

제작사 홈페이지에서 설치파일을 다운로드하여 설치를 시도하면 어떠한 이용약관 등의 정보도 제공하지 않고 해당 프로그램은 설치가 되도록 되어 있습니다.


설치된 폴더와 파일 정보는 위와 같습니다.

실제 해당 프로그램이 설치되었는지는 외관상 쉽게 확인이 불가능합니다. 이유는 윈도우 프로그램 목록에 네오포인트 관련 항목이 생성되지 않고 있기 때문입니다.

해당 프로그램이 설치되어 등록되는 각종 정보는 다음과 같습니다.

프로그램 동작시 생성되는 프로세서 정보입니다.


[Services 항목 생성 - wizclick]

wizclick Updatewizclickdef service - c:\program files\neopoint\wizclickdefser.exe


[BHO 생성]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{66AB721F-399A-4543-8AC7-29448404F9A9}
 - c:\windows\system32\ieinterface.dll


[윈도우 시작 프로세서 등록]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run   
 - NeoPoint - c:\program files\neopoint\oneloader.exe 

그 외 생성되는 레지스트리 정보는 다음과 같습니다.

HKEY_CURRENT_USER\Software\NeoPoint

HKEY_CURRENT_USER\Software\NeoPoint
 - UID = "081019184407177216"
 - UID2 = "A0000000"
 - TwoLoaderVersion = "E"

만약 해당 프로그램이 악의적으로 사용자 몰래 설치되는 경우 사용자가 삭제를 시도하는 과정을 통해 이 프로그램의 문제점을 확인해 보도록 하겠습니다.


실제 이 프로그램이 설치된 컴퓨터의 경우 제어판의 프로그램 추가/제거 항목에 [NeoPoint]라는 삭제 목록이 생성되는 것을 확인할 수 있습니다.

하지만 제거를 시도하면 위와 같이 [네오포인트 잔여 포인트가 있습니다.]라는 안내창이 생성되는 것을 확인하실 수 있습니다.(필자가 해당 서비스에 회원 가입을 하지 않은 상태에서 포인트가 지급된 것처럼 구성되어 있는 것입니다.)

안내창에서 제공하는 삭제 페이지로 이동을 해 보도록 하겠습니다.


삭제 안내 페이지에서는 사용자 PC에 프로그램 설치시 발급되는 고유번호로 적립금이 쌓여있다고 제시하고 있습니다.

하지만, 실제 이 페이지는 프로그램을 설치하지 않은 상태에서 접근하여도 동일한 메시지를 제시하고 있는 삭제 방지용이라고 봐야합니다.

하단에는 3가지 선택 사항이 있지만 실제로는 선택을 전혀 하지 못하도록 구성되어 있습니다.

첫 번째와 두 번째 항목은 모두 프로그램 삭제를 하지 않고 사용하도록 유도하고 있으며, 마지막의 항목을 선택하고 프로그램을 삭제하려고 하면 Java Script Error로 인하여 삭제 프로그램을 제공하지 않고 있습니다.

이제 해당 프로그램을 삭제할 방법을 알아보도록 하겠습니다.

이 프로그램은 자신이 형식적으로 삭제할 수 있는 방법을 제공하고 있는 척하지만, 위와 같이 삭제를 방해하고 있습니다. 반면에 보안 제품에서 이 부분에 대한 문제 제기를 방지하기 위해 사용자 컴퓨터에 프로그램을 설치하면서 찾을 수 없는 위치(Windows System 폴더)에 삭제 파일을 설치해 두고 있습니다.

[네오포인트 삭제 파일]

Windows\system32\NeoDelete.exe



삭제가 완료된 후 해당 설치 폴더와 파일을 확인해 보면 일부 파일(삭제 관련 파일로 추정)이 여전히 윈도우 시스템 폴더에 숨어있는 것을 확인할 수 있었습니다.


해당 파일은 윈도우 재부팅 후에 수동으로 삭제해 주시면 될 것으로 보입니다.

각종 국내에서 배포하는 게임, 프로그램, 핵 등을 통하여 위와 같은 각종 툴바, 적립금 프로그램 등이 사용자 몰래 설치되는 경우가 있으므로 주의하시기 바라며, 만약 삭제를 하시기 위해서는 일단 해당 설치된 프로그램의 제작사 홈페이지를 찾아서 삭제 관련 방법을 참고하시기 바랍니다.

만약 제작사가 삭제를 방해한다면 보안 업체에 신고하여 악성코드로 분류될 수 있도록 정보를 제공하는 것도 좋은 방법이라고 개인적으로 생각합니다.
728x90
반응형
  • 이전 댓글 더보기