IP 확인 기능이 포함된 것처럼 설치를 유도하여 인터넷 검색 및 웹 사이트 접속시 광고창 생성 및 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 MyIP 광고 프로그램<SHA-1 : 43226020cd2515f83917f4f639479242e7ecb82c - avast! : Win32:Adware-BRI [Adw] (VT : 30/56)>의 변종 정보가 확인되어 살펴보도록 하겠습니다.
MyIP 광고 프로그램은 변종에 따라 서비스, 예약 작업 등록 정보가 다양하게 추가될 수 있으므로 참고하시기 바랍니다.
파일 경로 |
C:\Program Files\MyIPCheck\config_adwa.dll |
SHA-1 |
94fa563766eb8df7d02fda0249087a15ee9c8b9b |
진단명 |
PUP/Win32.SubShop.C290653 (AhnLab V3 365 Clinic) |
디지털 서명 |
INSAFE |
비고 |
config_bangabmoa.dll / config_blogo.dll / config_fileidc.dll / config_filejil.dll / config_livefile.dll / config_theappl.dll 파일명으로 생성 가능 |
파일 경로 |
C:\Program Files\MyIPCheck\config_donkeycodec_new.dll |
SHA-1 |
da4af15c8f84fe63a81798cba6c720f53876ae64 |
진단명 |
PUP/Win32.KeywordPop.R105897 (AhnLab V3 365 Clinic) |
디지털 서명 |
INSAFE |
비고 |
config_fileidc_new.dll 파일명으로 생성 가능 |
파일 경로 |
C:\Program Files\MyIPCheck\criteoable.toast |
SHA-1 |
cc1559b69dd4b913d12e51fdba9a3c4fd52275ac |
진단명 |
a variant of Win32/Adware.TCon.C (ESET) |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files\MyIPCheck\easyclean.dll |
SHA-1 |
dc399d62db1980dfa64b410d7bda0972290212ab |
진단명 |
Gen:Variant.Adware.Symmi.36013 (BitDefender) |
디지털 서명 |
미디어클릭 |
파일 경로 |
C:\Program Files\MyIPCheck\MWManagerM.dll |
SHA-1 |
0942be7453d128467bc6f8c97e58b1b65eee4134 |
진단명 |
a variant of Win32/Adware.Winggo.AD (ESET) |
디지털 서명 |
The A MEDIA |
파일 경로 |
C:\Program Files\MyIPCheck\myipcheck.exe |
SHA-1 |
ac97ed472234d2aa6b737e2534d7ff94c4b8f95a |
진단명 |
PUP/Win32.IntClient.C608863 (AhnLab V3 365 Clinic) |
디지털 서명 |
INSAFE |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files\MyIPCheck\myipcheck_unin.exe |
SHA-1 |
7444056e83171c9ca55e2c555e2d9adaa0fa0b17 |
진단명 |
a variant of Win32/AdWare.Kraddare.IL (ESET) |
디지털 서명 |
INSAFE |
비고 |
프로그램 삭제 파일 |
파일 경로 |
C:\Program Files\MyIPCheck\myipchecks.exe |
SHA-1 |
599f5fb5ce1e7d2bc3298f674587d028d4bc1b25 |
진단명 |
Adware.Agent.419528[h] (Hauri ViRobot) |
디지털 서명 |
INSAFE |
비고 |
예약 작업(miccimpnvups) 등록 파일 |
파일 경로 |
C:\Program Files\MyIPCheck\rclick.dll |
SHA-1 |
47f7493f7357db2d8ead09f40448b1c615af5220 |
진단명 |
not-a-virus:AdWare.Win32.Kraddare.yi (Kaspersky) |
디지털 서명 |
INSAFE |
파일 경로 |
C:\Windows\miccimpnvupm.exe |
SHA-1 |
250e03068325f1ea7892c90b77dfc0d95159ef72 |
진단명 |
Gen:Variant.Adware.Graftor.175958 (BitDefender) |
디지털 서명 |
INSAFE |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\miccimpnvupm |
비고 |
서비스(miccimpnvupm) 등록 파일 |
파일 경로 |
C:\Windows\System32\drivers\myipcheck.sys |
SHA-1 |
e18e6fe98bd6c70bdcbe0657bd698a06c501b448 |
진단명 |
Generic.EE7 (AVG) |
디지털 서명 |
INSAFE |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\myipcheck |
비고 |
드라이버(myipcheck) 등록 파일 |
"INSAFE / The A MEDIA / 미디어클릭" 3종의 디지털 서명을 사용하는 MyIP 광고 프로그램은 "C:\Program Files\MyIPCheck" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 자동 실행값을 통해 프로그램을 실행하도록 구성되어 있습니다.
- 서비스(miccimpnvupm) : "C:\Windows\miccimpnvupm.exe" /srv
- 예약 작업(miccimpnvups) : C:\Program Files\MyIPCheck\myipchecks.exe /sch
자동 실행된 파일들은 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 광고 기능을 수행하는 criteoable.toast, myipcheck.exe 파일을 메모리에 상주시킵니다.
특히 MyIP 광고 프로그램은 설치 및 실행 과정에서 가상 환경 및 특정 분석 도구를 체크하여 조건에 부합될 경우 실행되지 않도록 분석을 방해할 수 있습니다.
프로그램이 설치된 환경에서는 다양한 광고 모듈을 통해 인터넷 검색 및 웹 사이트 접속시 다양한 광고창 생성, 바로가기 아이콘 추가 등의 광고 행위를 수행할 수 있으며, 추가적인 업데이트가 존재할 경우 업데이트 창 생성을 통해 다수의 광고 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
■ MyIP 광고 프로그램 삭제 방법
기본적으로 해당 광고 프로그램의 삭제는 제어판에 등록된 MyIP 삭제 항목을 이용하여 제거할 수 있으며, 만약 제어판에 표시되지 않을 경우에는 "C:\Program Files\MyIPCheck\myipcheck_unin.exe" 파일을 찾아 직접 실행하여 삭제를 진행하시기 바랍니다.
사용자의 필요에 따라 수동으로 프로그램 삭제가 필요한 경우에는 다음과 같은 절차를 참고하여 제거하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음과 같은 명령어를 순차적으로 입력 및 실행하여 등록된 서비스 및 드라이버 레지스트리 값을 자동 삭제하시기 바랍니다.(※ miccimpnvupm 명령어는 서비스 등록 파일명에 따라 변경될 수 있습니다.)
- sc delete "miccimpnvupm"
- sc delete "myipcheck"
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 criteoable.toast, myipcheck.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) 실행 중인 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\MyIPCheck
- C:\Windows\miccimpnvupm.exe
- C:\Windows\System32\drivers\myipcheck.sys
- C:\Windows\System32\Tasks\miccimpnvups
- C:\Windows\Tasks\miccimpnvups.job
MyIP 광고 프로그램의 이름으로는 광고 기능을 수행하는지 전혀 알 수 없으며, 프로그램 설치로 인하여 광고창 생성 및 추가적인 광고 프로그램 설치 통로로 이용될 수 있으므로 설치되지 않도록 주의하시기 바랍니다.