반응형
국내에서 제작된 적립금 프로그램 온플러스(ON-Plus) 제품에 대해 살펴보도록 하겠습니다.
최근 블로그를 방문하신 분 중에서 해당 프로그램으로 인하여 컴퓨터가 느려지는 현상으로 삭제에 어려움을 겪고 있다는 문의가 있어서 작성하며, 유사 프로그램이 있을 수 있기에 혼돈하지 않도록 하시기 바랍니다.
생성된 파일의 경우 안철수연구소(AhnLab) 제품에서 유해 가능 파일(Win-AppCare)로 진단하고 있는 것을 확인할 수 있습니다.
해당 프로그램의 기본 동작은 윈도우 시작시 onplus.exe 파일이 시작 프로그램으로 등록되어 자동 실행되면서 onplusov.exe 파일을 로딩합니다.
해당 2개의 프로세스는 기본적으로 메모리에 상주를 하며, 사용자가 Internet Explorer를 동작시 iexplore.exe 프로세스에 BHO 방식으로 onplusrw.dll 모듈을 추가하여 프로그램이 등록한 국내 사이트에서 온라인 쇼핑과 관련된 결제가 발생시 적립금을 누적하여 실제 사용자가 해당 서비스에 회원 가입을 한 경우에 한하여 돈을 지불해 주는 것으로 추정됩니다.
그러므로 해당 서비스를 이용하지 않는 경우에는 시스템 자원 낭비를 통한 문제가 발생할 수 있으므로 프로그램을 삭제하시기 바랍니다.
프로그램의 삭제는 제어판의 [온플러스] 삭제 항목을 이용하여 삭제하실 수 있으며, 안전한 삭제를 위해서는 위에서 제시한 프로세스를 반드시 종료하시고 삭제하시기 바랍니다. 특히 Internet Explorer를 반드시 종료하시고 삭제를 하세요.
최근 블로그를 방문하신 분 중에서 해당 프로그램으로 인하여 컴퓨터가 느려지는 현상으로 삭제에 어려움을 겪고 있다는 문의가 있어서 작성하며, 유사 프로그램이 있을 수 있기에 혼돈하지 않도록 하시기 바랍니다.
[설치 파일 진단 정보 - MD5 : 2117b1c9a1d33595dbf975b9066feb5a]
해당 제작사에서 제공하는 설치 파일을 기준으로 nProtect 제품에서 Trojan-Downloader/W32.Agent.897209 진단명으로 악성코드로 분류하고 있습니다.
해당 제작사에서 제공하는 설치 파일을 기준으로 nProtect 제품에서 Trojan-Downloader/W32.Agent.897209 진단명으로 악성코드로 분류하고 있습니다.
생성 폴더, 파일 정보
[생성 파일 진단 정보]
C:\Program Files\onplus\onplus.exe (AhnLab :Win-AppCare/Agent.827392)
C:\Program Files\onplus\onplusrw.dll (AhnLab :Win-AppCare/Agent.73728.F)
C:\Program Files\onplus\onplussb.dll (AhnLab :Win-AppCare/Agent.45056.D)
C:\Program Files\onplus\onplus.exe (AhnLab :Win-AppCare/Agent.827392)
C:\Program Files\onplus\onplusrw.dll (AhnLab :Win-AppCare/Agent.73728.F)
C:\Program Files\onplus\onplussb.dll (AhnLab :Win-AppCare/Agent.45056.D)
생성된 파일의 경우 안철수연구소(AhnLab) 제품에서 유해 가능 파일(Win-AppCare)로 진단하고 있는 것을 확인할 수 있습니다.
해당 2개의 프로세스는 기본적으로 메모리에 상주를 하며, 사용자가 Internet Explorer를 동작시 iexplore.exe 프로세스에 BHO 방식으로 onplusrw.dll 모듈을 추가하여 프로그램이 등록한 국내 사이트에서 온라인 쇼핑과 관련된 결제가 발생시 적립금을 누적하여 실제 사용자가 해당 서비스에 회원 가입을 한 경우에 한하여 돈을 지불해 주는 것으로 추정됩니다.
그러므로 해당 서비스를 이용하지 않는 경우에는 시스템 자원 낭비를 통한 문제가 발생할 수 있으므로 프로그램을 삭제하시기 바랍니다.
프로그램의 삭제는 제어판의 [온플러스] 삭제 항목을 이용하여 삭제하실 수 있으며, 안전한 삭제를 위해서는 위에서 제시한 프로세스를 반드시 종료하시고 삭제하시기 바랍니다. 특히 Internet Explorer를 반드시 종료하시고 삭제를 하세요.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{02C6BCE1-0AFB-4b10-97DA-76C319F226FF}
HKEY_CLASSES_ROOT\CLSID\{F4002DF0-9E5F-40c5-8DE5-14ABE8F6173A}
HKEY_CLASSES_ROOT\Interface\{9A5D4393-3909-41C0-B9CC-1758457F0913}
HKEY_CLASSES_ROOT\Interface\{A76E0BD3-4425-401C-BD4D-FAF56DB715FB}
HKEY_CLASSES_ROOT\OnPlus.Ovr
HKEY_CLASSES_ROOT\OnPlus.Ovr.1
HKEY_CLASSES_ROOT\OnPlus.Re
HKEY_CLASSES_ROOT\OnPlus.Re.1
HKEY_CLASSES_ROOT\TypeLib\{6ADEE35B-605C-4D75-BD8F-2821D260BADA}
HKEY_CLASSES_ROOT\TypeLib\{DF91287C-2C73-448C-946F-B34DB88DD1F7}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- onplus = C:\Program Files\ONPLUS\onplus.exe
HKEY_CURRENT_USER\Software\onplus
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{02C6BCE1-0AFB-4b10-97DA-76C319F226FF}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F4002DF0-9E5F-40c5-8DE5-14ABE8F6173A}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9A5D4393-3909-41C0-B9CC-1758457F0913}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{A76E0BD3-4425-401C-BD4D-FAF56DB715FB}
HKEY_LOCAL_MACHINE\software\Classes\OnPlus.Ovr
HKEY_LOCAL_MACHINE\software\Classes\OnPlus.Ovr.1
HKEY_LOCAL_MACHINE\software\Classes\OnPlus.Re
HKEY_LOCAL_MACHINE\software\Classes\OnPlus.Re.1
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{6ADEE35B-605C-4D75-BD8F-2821D260BADA}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{DF91287C-2C73-448C-946F-B34DB88DD1F7}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02C6BCE1-0AFB-4b10-97DA-76C319F226FF}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\onplus
HKEY_CLASSES_ROOT\CLSID\{02C6BCE1-0AFB-4b10-97DA-76C319F226FF}
HKEY_CLASSES_ROOT\CLSID\{F4002DF0-9E5F-40c5-8DE5-14ABE8F6173A}
HKEY_CLASSES_ROOT\Interface\{9A5D4393-3909-41C0-B9CC-1758457F0913}
HKEY_CLASSES_ROOT\Interface\{A76E0BD3-4425-401C-BD4D-FAF56DB715FB}
HKEY_CLASSES_ROOT\OnPlus.Ovr
HKEY_CLASSES_ROOT\OnPlus.Ovr.1
HKEY_CLASSES_ROOT\OnPlus.Re
HKEY_CLASSES_ROOT\OnPlus.Re.1
HKEY_CLASSES_ROOT\TypeLib\{6ADEE35B-605C-4D75-BD8F-2821D260BADA}
HKEY_CLASSES_ROOT\TypeLib\{DF91287C-2C73-448C-946F-B34DB88DD1F7}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- onplus = C:\Program Files\ONPLUS\onplus.exe
HKEY_CURRENT_USER\Software\onplus
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{02C6BCE1-0AFB-4b10-97DA-76C319F226FF}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F4002DF0-9E5F-40c5-8DE5-14ABE8F6173A}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9A5D4393-3909-41C0-B9CC-1758457F0913}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{A76E0BD3-4425-401C-BD4D-FAF56DB715FB}
HKEY_LOCAL_MACHINE\software\Classes\OnPlus.Ovr
HKEY_LOCAL_MACHINE\software\Classes\OnPlus.Ovr.1
HKEY_LOCAL_MACHINE\software\Classes\OnPlus.Re
HKEY_LOCAL_MACHINE\software\Classes\OnPlus.Re.1
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{6ADEE35B-605C-4D75-BD8F-2821D260BADA}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{DF91287C-2C73-448C-946F-B34DB88DD1F7}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02C6BCE1-0AFB-4b10-97DA-76C319F226FF}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\onplus
728x90
반응형