본문 바로가기

벌새::PUP Info

검색 도우미 : MyIP - miccimpnvupm.exe (2015.10.20)

728x90
반응형

 

IP 확인 기능이 포함된 것처럼 설치를 유도하여 인터넷 검색 및 웹 사이트 접속시 광고창 생성 및 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 MyIP 광고 프로그램<SHA-1 : 43226020cd2515f83917f4f639479242e7ecb82c - avast! : Win32:Adware-BRI [Adw] (VT : 30/56)>의 변종 정보가 확인되어 살펴보도록 하겠습니다.

MyIP 광고 프로그램은 변종에 따라 서비스, 예약 작업 등록 정보가 다양하게 추가될 수 있으므로 참고하시기 바랍니다.

 

파일 경로

 C:\Program Files\MyIPCheck\config_adwa.dll

SHA-1

 94fa563766eb8df7d02fda0249087a15ee9c8b9b

진단명

 PUP/Win32.SubShop.C290653 (AhnLab V3 365 Clinic)

디지털 서명

 INSAFE

비고

 config_bangabmoa.dll / config_blogo.dll / config_fileidc.dll / config_filejil.dll / config_livefile.dll / config_theappl.dll 파일명으로 생성 가능

 

파일 경로

 C:\Program Files\MyIPCheck\config_donkeycodec_new.dll

SHA-1

 da4af15c8f84fe63a81798cba6c720f53876ae64

진단명

 PUP/Win32.KeywordPop.R105897 (AhnLab V3 365 Clinic)

디지털 서명

 INSAFE

비고

 config_fileidc_new.dll 파일명으로 생성 가능

 

파일 경로

 C:\Program Files\MyIPCheck\criteoable.toast

SHA-1

 cc1559b69dd4b913d12e51fdba9a3c4fd52275ac

진단명

 a variant of Win32/Adware.TCon.C (ESET)

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\MyIPCheck\easyclean.dll

SHA-1

 dc399d62db1980dfa64b410d7bda0972290212ab

진단명

 Gen:Variant.Adware.Symmi.36013 (BitDefender)

디지털 서명

 미디어클릭

 

파일 경로

 C:\Program Files\MyIPCheck\MWManagerM.dll

SHA-1

 0942be7453d128467bc6f8c97e58b1b65eee4134

진단명

 a variant of Win32/Adware.Winggo.AD (ESET)

디지털 서명

 The A MEDIA

 

파일 경로

 C:\Program Files\MyIPCheck\myipcheck.exe

SHA-1

 ac97ed472234d2aa6b737e2534d7ff94c4b8f95a

진단명

 PUP/Win32.IntClient.C608863 (AhnLab V3 365 Clinic)

디지털 서명

 INSAFE

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\MyIPCheck\myipcheck_unin.exe

SHA-1

 7444056e83171c9ca55e2c555e2d9adaa0fa0b17

진단명

 a variant of Win32/AdWare.Kraddare.IL (ESET)

디지털 서명

 INSAFE

비고

 프로그램 삭제 파일

 

파일 경로

 C:\Program Files\MyIPCheck\myipchecks.exe

SHA-1

 599f5fb5ce1e7d2bc3298f674587d028d4bc1b25

진단명

 Adware.Agent.419528[h] (Hauri ViRobot)

디지털 서명

 INSAFE

비고

 예약 작업(miccimpnvups) 등록 파일

 

파일 경로

 C:\Program Files\MyIPCheck\rclick.dll

SHA-1

 47f7493f7357db2d8ead09f40448b1c615af5220

진단명

 not-a-virus:AdWare.Win32.Kraddare.yi (Kaspersky)

디지털 서명

 INSAFE

 

파일 경로

 C:\Windows\miccimpnvupm.exe

SHA-1

 250e03068325f1ea7892c90b77dfc0d95159ef72

진단명

 Gen:Variant.Adware.Graftor.175958 (BitDefender)

디지털 서명

 INSAFE

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\miccimpnvupm

비고

 서비스(miccimpnvupm) 등록 파일

 

파일 경로

 C:\Windows\System32\drivers\myipcheck.sys

SHA-1

 e18e6fe98bd6c70bdcbe0657bd698a06c501b448

진단명

 Generic.EE7 (AVG)

디지털 서명

 INSAFE

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\myipcheck

비고

 드라이버(myipcheck) 등록 파일

"INSAFE / The A MEDIA / 미디어클릭" 3종의 디지털 서명을 사용하는 MyIP 광고 프로그램은 "C:\Program Files\MyIPCheck" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 자동 실행값을 통해 프로그램을 실행하도록 구성되어 있습니다.

  • 서비스(miccimpnvupm) : "C:\Windows\miccimpnvupm.exe" /srv
  • 예약 작업(miccimpnvups) : C:\Program Files\MyIPCheck\myipchecks.exe /sch

자동 실행된 파일들은 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 광고 기능을 수행하는 criteoable.toast, myipcheck.exe 파일을 메모리에 상주시킵니다.

 

특히 MyIP 광고 프로그램은 설치 및 실행 과정에서 가상 환경 및 특정 분석 도구를 체크하여 조건에 부합될 경우 실행되지 않도록 분석을 방해할 수 있습니다.

 

프로그램이 설치된 환경에서는 다양한 광고 모듈을 통해 인터넷 검색 및 웹 사이트 접속시 다양한 광고창 생성, 바로가기 아이콘 추가 등의 광고 행위를 수행할 수 있으며, 추가적인 업데이트가 존재할 경우 업데이트 창 생성을 통해 다수의 광고 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

MyIP 광고 프로그램 삭제 방법

기본적으로 해당 광고 프로그램의 삭제는 제어판에 등록된 MyIP 삭제 항목을 이용하여 제거할 수 있으며, 만약 제어판에 표시되지 않을 경우에는 "C:\Program Files\MyIPCheck\myipcheck_unin.exe" 파일을 찾아 직접 실행하여 삭제를 진행하시기 바랍니다.

 

사용자의 필요에 따라 수동으로 프로그램 삭제가 필요한 경우에는 다음과 같은 절차를 참고하여 제거하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음과 같은 명령어를 순차적으로 입력 및 실행하여 등록된 서비스 및 드라이버 레지스트리 값을 자동 삭제하시기 바랍니다.(miccimpnvupm 명령어는 서비스 등록 파일명에 따라 변경될 수 있습니다.)

  • sc delete "miccimpnvupm"
  • sc delete "myipcheck"

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 criteoable.toast, myipcheck.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 실행 중인 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\MyIPCheck
  • C:\Windows\miccimpnvupm.exe
  • C:\Windows\System32\drivers\myipcheck.sys
  • C:\Windows\System32\Tasks\miccimpnvups
  • C:\Windows\Tasks\miccimpnvups.job

MyIP 광고 프로그램의 이름으로는 광고 기능을 수행하는지 전혀 알 수 없으며, 프로그램 설치로 인하여 광고창 생성 및 추가적인 광고 프로그램 설치 통로로 이용될 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형