반응형
국내에서 제작된 온라인 쇼핑몰 적립금 프로그램 웹홀(WebHole) 제품에 대해 살펴보도록 하겠습니다.
해당 프로그램은 최근 살펴본 세이브텐(SaveTen) 1.1 프로그램과 동일한 방식이므로 참고하시기 바랍니다.
[관련 URL 정보]
h**p://end***.com/nzell_app/reward.chk
h**p://www.web****.co.kr/count/insert.php?pid=webhole&kind=1
h**p://www.web****.co.kr/count/insert.php?pid=webhole&kind=4
h**p://web****.co.kr/reward/webhole01/update.php
h**p://update.sol***.co.kr/webhole_update_20100203.exe
h**p://www.web****.co.kr/count/update.php?pid=webhole&kind=3
h**p://www.web****.co.kr/count/insert.php?pid=webhole&kind=3
h**p://end***.com/nzell_app/reward.chk
h**p://www.web****.co.kr/count/insert.php?pid=webhole&kind=1
h**p://www.web****.co.kr/count/insert.php?pid=webhole&kind=4
h**p://web****.co.kr/reward/webhole01/update.php
h**p://update.sol***.co.kr/webhole_update_20100203.exe
h**p://www.web****.co.kr/count/update.php?pid=webhole&kind=3
h**p://www.web****.co.kr/count/insert.php?pid=webhole&kind=3
해당 프로그램은 프로그램 폴더 내의 [wbsvc] 폴더에 프로그램을 생성하고 있으며, Windows 시작시 wholegrade.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
[wholegrade.exe 파일 네트워크 연결 정보]
GET /count/insert.php?pid=webhole&kind=4 HTTP/1.1
User-Agent: wholegrade
Host: www.webhole.co.kr
GET /reward/webhole01/update.php HTTP/1.1
User-Agent: OpenPage
Host: webhole.co.kr
GET /count/insert.php?pid=webhole&kind=4 HTTP/1.1
User-Agent: wholegrade
Host: www.webhole.co.kr
GET /reward/webhole01/update.php HTTP/1.1
User-Agent: OpenPage
Host: webhole.co.kr
wholerade.exe 파일은 특정 서버에 접속하여 카운터(Counter) 기능과 업데이트 체크를 한 후 스스로 종료되도록 구성되어 있습니다.
해당 프로그램이 설치된 환경에서는 프로그램 목록에 제시되어 있지 않으므로 사용자가 확인이 어려우며, Internet Explorer와 연동되어 동작하는 방식이므로 추가 기능 관리에 등록된 [wbsvcBHO Class] 항목을 통해 확인하실 수 있습니다.
프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스의 자식 프로세스로 Idleploer.exe 프로세스가 추가되어 동작하며, wbsvc.dll 파일을 BHO 방식으로 추가하는 것을 확인할 수 있습니다.
해당 적립금 프로그램은 반드시 해당 제작사 사이트에 회원 가입을 해야 하므로, 단순히 시스템에 설치된 경우에는 시스템 자원 낭비 및 오류를 유발할 수 있으므로 삭제를 권장합니다.
프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [WebHole Desktop Manager] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 과정에서는 그림과 같은 플러그인 삭제 안내창을 통해 사용자가 [아니오. 적립금에 관계없이 플러그인을 삭제하겠습니다.(적립금은 자동 소멸됩니다.)] 항목을 체크해야지 삭제가 가능하므로 참고하시기 바랍니다.
프로그램 삭제 후에는 추가적으로 [C:\WINDOWS\system32\webholeAX.ocx] 파일을 수동으로 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\AppID\wbsvc.DLL
HKEY_CLASSES_ROOT\AppID\{E0F6C41D-F99F-4072-AD54-B8B7656B75D2}
HKEY_CLASSES_ROOT\CLSID\{1D11FD92-D07E-405D-8FB4-0119CC9DAFA9}
HKEY_CLASSES_ROOT\CLSID\{444C41FD-3962-447B-98A4-909CC5F61898}
HKEY_CLASSES_ROOT\CLSID\{9C363AB2-B6E9-42D7-909F-A39CCB990BD8}
HKEY_CLASSES_ROOT\CLSID\{D0ABCB82-C5A3-4F63-ADAD-372D8325C7DA}
HKEY_CLASSES_ROOT\CLSID\{F7C7408E-4269-4C66-B617-3B46353F0D8B}
HKEY_CLASSES_ROOT\Interface\{16AB6511-1304-4A3E-B8B8-B77D3737A47A}
HKEY_CLASSES_ROOT\Interface\{67477771-8A04-4E6A-84E5-4B0026F97B55}
HKEY_CLASSES_ROOT\Interface\{7EF9DDFD-3D7B-4EE1-93CA-E05109B03B15}
HKEY_CLASSES_ROOT\Interface\{961E50F5-260B-4559-AB5D-91B14FC720D6}
HKEY_CLASSES_ROOT\Interface\{EB2CF0A8-4D02-4926-84DA-32BF7D0D453B}
HKEY_CLASSES_ROOT\TypeLib\{53D71049-561E-4C5F-840C-EF769A96CD10}
HKEY_CLASSES_ROOT\TypeLib\{A1D76509-1FF0-41FC-8551-1E3056CFBD2B}
HKEY_CLASSES_ROOT\TypeLib\{E4192E09-5825-4B14-805C-99E9AA9EE362}
HKEY_CLASSES_ROOT\wbsvc.wbsvcBHO
HKEY_CLASSES_ROOT\wbsvc.wbsvcBHO.1
HKEY_CLASSES_ROOT\WBSVCAX.wbsvcAXCtrl.1
HKEY_CLASSES_ROOT\WEBHOLEAX.webholeAXCtrl.1
HKEY_CURRENT_USER\software\wbservc
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{444C41FD-3962-447B-98A4-909CC5F61898}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- wbservc = C:\Program Files\wbsvc\wholegrade.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\
wbservc uninstall
HKEY_LOCAL_MACHINE\software\wbservc
HKEY_CLASSES_ROOT\AppID\wbsvc.DLL
HKEY_CLASSES_ROOT\AppID\{E0F6C41D-F99F-4072-AD54-B8B7656B75D2}
HKEY_CLASSES_ROOT\CLSID\{1D11FD92-D07E-405D-8FB4-0119CC9DAFA9}
HKEY_CLASSES_ROOT\CLSID\{444C41FD-3962-447B-98A4-909CC5F61898}
HKEY_CLASSES_ROOT\CLSID\{9C363AB2-B6E9-42D7-909F-A39CCB990BD8}
HKEY_CLASSES_ROOT\CLSID\{D0ABCB82-C5A3-4F63-ADAD-372D8325C7DA}
HKEY_CLASSES_ROOT\CLSID\{F7C7408E-4269-4C66-B617-3B46353F0D8B}
HKEY_CLASSES_ROOT\Interface\{16AB6511-1304-4A3E-B8B8-B77D3737A47A}
HKEY_CLASSES_ROOT\Interface\{67477771-8A04-4E6A-84E5-4B0026F97B55}
HKEY_CLASSES_ROOT\Interface\{7EF9DDFD-3D7B-4EE1-93CA-E05109B03B15}
HKEY_CLASSES_ROOT\Interface\{961E50F5-260B-4559-AB5D-91B14FC720D6}
HKEY_CLASSES_ROOT\Interface\{EB2CF0A8-4D02-4926-84DA-32BF7D0D453B}
HKEY_CLASSES_ROOT\TypeLib\{53D71049-561E-4C5F-840C-EF769A96CD10}
HKEY_CLASSES_ROOT\TypeLib\{A1D76509-1FF0-41FC-8551-1E3056CFBD2B}
HKEY_CLASSES_ROOT\TypeLib\{E4192E09-5825-4B14-805C-99E9AA9EE362}
HKEY_CLASSES_ROOT\wbsvc.wbsvcBHO
HKEY_CLASSES_ROOT\wbsvc.wbsvcBHO.1
HKEY_CLASSES_ROOT\WBSVCAX.wbsvcAXCtrl.1
HKEY_CLASSES_ROOT\WEBHOLEAX.webholeAXCtrl.1
HKEY_CURRENT_USER\software\wbservc
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{444C41FD-3962-447B-98A4-909CC5F61898}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- wbservc = C:\Program Files\wbsvc\wholegrade.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\
wbservc uninstall
HKEY_LOCAL_MACHINE\software\wbservc
해당 프로그램의 경우 프로그램 폴더에 생성된 폴더 이름으로는 사용자가 어떤 프로그램인지 제대로 인지하기 어렵다는 점에서 문제가 되지 않나 생각됩니다.
728x90
반응형