본문 바로가기

벌새::Analysis

적립금 프로그램 : KCPoint

교육정보넷에서 서비스하는 포인트 적립금 프로그램 KCPoint 제품에 대해 살펴보도록 하겠습니다.

해당 사이트에서는 계약 파트너가 악의적으로 프로그램을 유포하여 사용자 컴퓨터에 동의없이 설치되어 삭제가 되지 않았다고 합니다. 그에 대하여 삭제 파일을 제공하고 있으므로 해당 안내 페이지를 참고하시기 바랍니다.

개인적인 테스트에서는 비단 이런 행위 외에 프로그램의 삭제를 다소 어렵게 만든 점이 보이므로 해당 제품의 설치와 삭제에 대해 살펴보도록 하겠습니다.

01


해당 제품에 대한 이용약관의 내용 중 일부에 대해서는 사용자가 추가적으로 인지할 부분이 있습니다.

[이용약관 중 일부]

제20조. 패밀리 프로그램
1. “패밀리 프로그램”이란 KCPoint에서 운영하는 프로그램을 의미하며 이를 "패밀리 프로그램"이라 합니다.
2. KCPoint 설치를 할때 동반 설치되며 제어판 / 추가 삭제에서 언인스톨을 할수 있습니다.

제21조. 설치
1. 기타 악성 프로그램이나 특정 프로그램에 의해 강제 삭제 되었을 것에 대비하여 주기적으로 재 설치할 수 있습니다.
2. 프로그램 추가 / 삭제를 통하여 삭제를 하였을 경우 재설치를 하지 않습니다.


해당 프로그램이 설치된 후 생성된 폴더와 파일 정보입니다.


제품이 설치된 상태에서 해당 제작사 홈페이지에 접속을 하실 경우 KCPointActiveX ActiveX Control Module을 추가적으로 실행하도록 구성되어 있습니다.

01


해당 컨트롤이 설치되면 위와 같이 설치 전과 달리 사용자에게 고유번호가 부여되는 것을 확인할 수 있습니다.


[시작 프로그램 등록 정보]

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run
 - KCPoint = C:\Program Files\KCPoint\KCPoint.exe
 - KCPointC = C:\Program Files\KCPoint\ControlKCPoint.exe


해당 프로그램이 악의적인 설치 방식 외에 정상적인 설치시에도 실제 제어판에서 삭제를 시도할 경우 프로그램의 원래 이름인 KCPoint 항목으로 구성되어 있지 않고, [WindowsKC]라는 다소 찾기 어려운 삭제 항목으로 등록되어 있어 문제가 된다고 판단됩니다.

실제 제어판에서 삭제를 시도하면 정상적으로 삭제가 이루어지지만, 다음과 같은 레지스트리 항목은 사용자가 수동으로 추가적인 삭제를 하셔야 합니다.

[레지스트리 추가 삭제 정보]

HKEY_CURRENT_USER\software\KCPoint
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E6D460A2-E705-439D-A75E-F9D49CA14106}\iexplore\AllowedDomains\kcpoint.com
HKEY_CURRENT_USER\software\Microsoft\Windows\ShellNoRoam\MUICache (C:\Documents and Settings\All Users\Application Data\KCPointUninstall.exe)
HKEY_CURRENT_USER\software\Microsoft\Windows\ShellNoRoam\MUICache (C:\Documents and Settings\All Users\Application Data\KCPointUninstall.exe=KCPointUninstall MFC 응용 프로그램)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{21DDB707-8777-4119-BE15-460475ABDE95}\1.0\0\win32 (Default=C:\Documents and Settings\All Users\Application Data\KCPoint.ocx)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{21DDB707-8777-4119-BE15-460475ABDE95}\1.0 (Default=KCPointActiveX ActiveX Control module)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{E610E34E-C9EC-44EC-A254-0C6510C720DE} (Default=_DKCPointActiveX)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{4B52B976-1A88-411F-A033-7CDB9B5463EB} (Default=_DKCPointActiveXEvents)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{E6D460A2-E705-439D-A75E-F9D49CA14106}\ToolboxBitmap32 (Default=C:\DOCUME~1\ALLUSE~1\APPLIC~1\KCPoint.ocx, 1)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{E6D460A2-E705-439D-A75E-F9D49CA14106}\ProgID (Default=KCPOINTACTIVEX.KCPointActiveXCtrl.1)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9B0F30D0-7A68-495C-A726-8FD71AF84369}\InprocServer32 (Default=C:\DOCUME~1\ALLUSE~1\APPLIC~1\KCPoint.ocx)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{9B0F30D0-7A68-495C-A726-8FD71AF84369} (Default=KCPointActiveX Property Page)

해당 적립금 프로그램은 보안 제품에서 진단되는 악성코드는 아닙니다. 하지만 자신도 모르게 설치되는 경로가 존재할 수 있으며, 정상적인 삭제에서도 제어판에서 삭제 항목을 찾기 어려운 점이 있으므로 참고하시기 바랍니다.