울지않는벌새 : Security, Movie & Society

적립금 프로그램 - 포인트원 (Pointone)

벌새::Analysis
국내에서 배포되는 적립금 프로그램 포인트원(Pointone) 제품에 대해 살펴보도록 하겠습니다.

해당 프로그램이 설치된 환경에서 삭제가 되지 않고 컴퓨터 사용에 방해를 주는 행동을 통해 고생하시는 분들이 있는데 왜 그런 현상이 일어나는지 알아보도록 하겠습니다.

01


제품 설치시 일반적인 프로그램처럼 정상적인 이용약관 제공 등의 과정을 거치고 있습니다.

[이용약관 일부]

제11조. 개인정보의 보호 및 사용

4. 회사는 소프트웨어를 설치한 이용자의 PC에 팝업, 배너, 플래쉬 등을 표시할 수 있으며 상업성 내용이 포함될 수 있습니다.

이용약관 중 해당 적립금 프로그램을 설치할 경우 사용자 컴퓨터에 각종 상업적 팝업 등을 생성하는 기능이 포함되어 있다고 밝히고 있습니다.

특히 해당 내용이 개인정보 관련 항목 중간에 살며시 포함이 되어 있어서 긴 이용약관에서 찾기 어렵게 구성되어 있지 않나 생각이 듭니다.

만약 자신의 컴퓨터에 원치않는 국내 제품 관련 팝업창이 생성된다면 이런 류의 프로그램으로 인해 생성될 수 있다는 점을 상기하시기 바랍니다.

생성 폴더, 파일 정보


[생성 파일 진단 내역]

C:\Program Files\pointone\pointone.exe (AhnLab V3 : Win-Adware/IEShow.339968.Z)
C:\Program Files\pointone\IUtil.dll (AhnLab V3 : Win-Adware/IEShow.94208)
C:\Program Files\pointone\IEService.exe (AhnLab V3 : Win-Adware/IEShow.233472)

설치된 파일 중 일부를 보안 제품에서 애드웨어(Adware)로 진단하고 있으며 진단명을 통해 추정해 보면, 사용자가 원치않는 팝업 관련 광고를 생성하는 것으로 보입니다.


실제 설치된 환경에서 프로세스에 IEService.exe 가 생성되어 상주하는 것을 확인할 수 있습니다.


[시작 프로그램 등록]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 - pointone = "C:\Program Files\pointone\pointone.exe"


[BHO 등록]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CDD111A8-5FDD-4E00-8722-511278A73A51}
 - pointoneBHO Class = "c:\program files\pointone\pointone.dll"

해당 포인트원이 설치된 컴퓨터에서 왜 제품의 삭제가 제대로 이루어지지 않는지 확인해 보겠습니다.


실제 제어판의 [pointone] 삭제 항목의 제공이나 설치 폴더 내의 uninstall.exe 파일이 존재하기에 제품이 삭제될 것처럼 구성되어 있지만, uninstall.exe 파일 내부를 들여다보면 삭제 기능은 존재하지 않고 에러 메시지를 통해 마치 컴퓨터가 바이러스에 감염되어 파일이 손상된 것처럼 위장을 하고 있습니다.

또한 제작사 홈페이지에서 제공하는 삭제 안내 공지를 확인해 보아도 위에서 언급한 삭제 방식만을 안내해주고 있습니다.


제어판의 삭제 방식으로 삭제를 시도하면 특정 삭제 관련 웹 페이지가 생성되면서 하단에 위와 같은 삭제 옵션을 제공하고 있습니다.


선택 항목 중에서 플러그인을 삭제한다고 체크를 하고 확인 버튼을 클릭하면 새로운 웹 페이지(ActiveX 생성 주의)가 생성되면 마치 삭제된 것처럼 안내 메시지를 생성합니다.


마지막 생성되는 웹 페이지의 소스를 확인해보면 포인트원을 설치할 당시 윈도우 시스템 폴더에 생성된 pointoneAX.ocx 파일을 담고 있는 pointoneAX.cab 파일 즉, 포인트원 설치 또는 삭제로 추정되는 ActiveX를 설치하도록 유도하고 있습니다.

소스를 자세히 보시면 설치 경로 주소가 비정상적으로 구성(http:// -> http:/)되어 있어서 실제 다운로드가 되지 않으며, 수정해서 다운로드를 시도해도 서버에서 다운로드가 되지 않는 상태입니다.

그러므로 해당 사이트나 프로그램이 제공하는 삭제 방식은 전혀 무용지물인 셈입니다.

그렇다면 해당 프로그램을 삭제하는 방법은 어떤 방법이 있는지 알아보겠습니다.

맨 처음 언급한 것처럼 현재 국내 보안 제품에서 해당 적립금 프로그램을 애드웨어로 진단하고 있으므로 보안 제품을 이용하여 시스템 전체 검사를 통한 삭제를 추천해 드립니다.

만약 수동으로 삭제를 원하시는 분들은 다음의 과정에 따라 삭제를 시도하시기 바랍니다.

1. 동작하고 있는 모든 프로그램을 종료합니다.

2. 작업 관리자를 열어 IEService.exe 프로세스가 동작하고 있으면 강제로 종료를 합니다.

3. 포인트원이 생성한 폴더와 파일을 수동으로 찾아 강제로 삭제를 합니다.
 - 삭제가 불가능한 경우에는 Process Explorer와 같은 툴을 이용하는 방법을 추천합니다.

4. 레지스트리 항목에서 pointone 관련 항목을 검색하여 전부 삭제를 합니다.

HKEY_CURRENT_USER\software\pointone
HKEY_LOCAL_MACHINE\software\Classes\AppID\pointone.DLL
HKEY_LOCAL_MACHINE\software\Classes\AppID\{FB0101D3-3EFA-4332-BE8C-A8295E438172} (Default=pointone)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{31718441-7E95-47C6-ADFE-1AF7D3D03C21} (Default=_DpointoneAX)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{321DA4E7-7476-430D-B4D8-4C247F4F9EA0} (Default=_DpointoneAXEvents)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{47DE8549-4632-44A1-A4BC-4D068F5F642F} (Default=IpointoneBHO)
HKEY_LOCAL_MACHINE\software\Classes\POINTONEAX.pointoneAXCtrl.1 (Default=pointoneAX Control)
HKEY_LOCAL_MACHINE\software\Classes\POINTONEAX.pointoneAXCtrl.1
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{9F2459AF-7AF8-4E8D-8F04-E26211F0D2FA}\1.0 (Default=pointone 1.0 형식 라이브러리)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{9F2459AF-7AF8-4E8D-8F04-E26211F0D2FA}\1.0\0\win32 (Default=C:\Program Files\pointone\pointone.dll)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{BD3B10EA-6DEF-4D9A-8F23-1301A9AFD54B}\1.0 (Default=pointoneAX ActiveX 컨트롤 모듈)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{BD3B10EA-6DEF-4D9A-8F23-1301A9AFD54B}\1.0\0\win32 (Default=C:\WINDOWS\system32\pointoneAX.ocx)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{1378AABE-B90D-4A69-BE3D-002DACFBA452} (Default=pointoneAX Property Page)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{CBFE6F23-BFAC-46AB-872F-B2E31960646B} (Default=pointoneAX Control)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{CBFE6F23-BFAC-46AB-872F-B2E31960646B}\ProgID (Default=POINTONEAX.pointoneAXCtrl.1)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{CDD111A8-5FDD-4E00-8722-511278A73A51} (Default=pointoneBHO Class)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{CDD111A8-5FDD-4E00-8722-511278A73A51}\InprocServer32 (Default=C:\Program Files\pointone\pointone.dll)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{CDD111A8-5FDD-4E00-8722-511278A73A51}\ProgID (Default=pointone.pointoneBHO.1)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{CDD111A8-5FDD-4E00-8722-511278A73A51}\VersionIndependentProgID (Default=pointone.pointoneBHO)
HKEY_LOCAL_MACHINE\software\Classes\pointone.pointoneBHO (Default=pointoneBHO Class)
HKEY_LOCAL_MACHINE\software\Classes\pointone.pointoneBHO
HKEY_LOCAL_MACHINE\software\Classes\pointone.pointoneBHO.1 (Default=pointoneBHO Class)
HKEY_LOCAL_MACHINE\software\Classes\pointone.pointoneBHO.1
HKEY_LOCAL_MACHINE\software\Classes\pointone.pointoneBHO\CurVer (Default=pointone.pointoneBHO.1)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CDD111A8-5FDD-4E00-8722-511278A73A51} (Default=pointoneBHO Class)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run (pointone=C:\Program Files\pointone\pointone.exe)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run (pointone)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\pointone uninstall (UninstallString="C:\Program Files\pointone\uninstall.exe")
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\pointone uninstall (DisplayName=pointone)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\pointone uninstall (DisplayIcon="C:\Program Files\pointone\uninstall.exe")
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\pointone uninstall
HKEY_LOCAL_MACHINE\software\pointone

개인적으로 수동 삭제법보다는 보안 제품에서 정상적으로 진단을 하고 있으므로 보안 제품을 이용한 삭제를 추천해 드립니다.

국내에 다수의 적립금 프로그램이 존재하지만 일부는 위와 같이 비정상적인 방식으로 배포가 이루어지고 있으므로 사용시 주의하시기 바랍니다.