본문 바로가기

벌새::Analysis

적립금 프로그램 : 캐쉬백모아 (Cashbackmoa)

728x90
반응형
오마이비즈 업체에서 서비스하는 적립금 프로그램 캐쉬백모아(Cashbackmoa) 제품에 대해 살펴보도록 하겠습니다.

MD5 : 679c800f5971e65cda9c91f7cd8a197f

해당 테스트에서는 제작사 홈페이지에서 제공하는 설치 파일을 이용하였으며, 해당 설치 파일은 그림과 같이 해외 보안제품 다수가 악성코드로 진단하고 있는 것을 확인할 수 있습니다. 국내 보안제품이 진단하지 않는 이유는 진단정책에 따른 문제로 추정됩니다.


제품의 설치 단계에서는 어떠한 이용약관을 제공하지 않으면서 그림과 같이 약관에 동의를 하였다고 표시가 되고 있습니다. 단지 해당 제작사 홈페이지에서는 회원 가입 단계에서 이용약관을 제시하고 있는 것을 확인할 수 있었습니다.

생성 폴더, 파일 정보


[생성 레지스트리 정보]

HKEY_CLASSES_ROOT\cashbackmoa.cashbackmoaObj
HKEY_CLASSES_ROOT\cashbackmoa.cashbackmoaObj.1
HKEY_CLASSES_ROOT\CLSID\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
HKEY_CLASSES_ROOT\Interface\{30D84BF9-E1D6-4665-8D8B-60C5526F5CD5}
HKEY_CLASSES_ROOT\TypeLib\{C10C57B3-8570-4604-B136-1AE2E8910F4C}
HKEY_CURRENT_USER\software\cashbackmoa
HKEY_LOCAL_MACHINE\software\cashbackmoa
HKEY_LOCAL_MACHINE\software\Classes\cashbackmoa.cashbackmoaObj
HKEY_LOCAL_MACHINE\software\Classes\cashbackmoa.cashbackmoaObj.1
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{30D84BF9-E1D6-4665-8D8B-60C5526F5CD5}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{C10C57B3-8570-4604-B136-1AE2E8910F4C}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\cashbackmoa
HKEY_USERS\current\Software\cashbackmoa
HKEY_USERS\S-1-5-21-1659004503-1767777339-682003330-1004\software\cashbackmoa


설치된 프로그램은 추가적으로 WebGuideBar 폴더를 생성하고 내부에는 비어 있는 것을 확인할 수 있는데, 이는 Cashbackmoa 생성 파일 Updater.exe 내부 문자열을 확인해 보면, 그림과 같이 추가적으로 설치되는 프로그램을 생성하는 기능이 포함되어 있는 것을 확인할 수 있습니다.

제작사 이용약관에서도 추가적으로 사용자 PC에 위와 같은 프로그램을 설치할 수 있다고 언급되어 있습니다.

[BHO 등록 정보]

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
 - C:\PROGRA~1\CASHBA~1\CASHBA~1.DLL

※ HKEY_CLASSES_ROOT\CLSID\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}


해당 프로그램의 동작은 사용자가 Internet Explorer를 이용할 경우 등록된 BHO 방식을 통하여 특정 쇼핑몰에 접근하여 구매활동을 할 경우 포인트가 적립되는 방식입니다.


테스트에서는 구글(Google) 검색을 통하여 인터파크(Interpark) 쇼핑몰에 접근시 그림과 같이 정상적인 컴퓨터 사용을 방해하는 모습을 확인할 수 있었습니다.

검색에서 제공하는 쇼핑몰 링크를 클릭할 경우 해당 사이트 접근을 차단하고 해당 프로그램의 페이지로 이동하여 광고 링크를 제공하는 것을 확인할 수 있습니다.

shoplist 파일 내부 문자열


해당 프로그램 설치 폴더 내에 존재하는 shoplist 파일의 문자열을 살펴보면 각종 사이트 명칭이 제시되어 있으며, 일부 성인 사이트도 확인할 수 있습니다.


특히 해외 보안제품이 진단하는 BHO 등록 파일 cashbackmoa.dll 파일의 경우 파일 속성값에서 제작 회사가 마이크로소프트(Microsoft)로 표기되어 있는 것을 확인할 수 있었습니다. 이는 일반 사용자가 확인할 경우 정상적인 윈도우 관련 파일로 오해를 할 수 있는 부분입니다.

해당 파일은 제작사에 회원가입을 한 아이디, 맥 어드레스(Mac Address) 값 등을 통해 쇼핑 등록 사이트 목록에서 구매 활동을 통한 적립금을 누적하도록 구성된 것으로 보입니다.


제품의 삭제는 제어판의 [Windows cashbackmoa] 삭제 항목을 이용하여 삭제할 수 있는데, 삭제 항목의 이름 역시 Windows 명칭을 앞에 두어 찾기 어렵게 만들지 않았나 생각됩니다.

[수동 삭제 폴더 정보]

C:\Program Files\WebGuideBar


전체적으로 해당 프로그램은 회원 가입을 하지 않은 상태에서 컴퓨터에 설치된 경우 인터넷 이용에 불편함을 야기할 수 있는 요소가 있으므로 자신의 컴퓨터에 해당 프로그램이 설치되어 있다면 삭제를 하시기 바랍니다. 또한 현재의 테스트에서는 추가적인 프로그램 설치가 이루어지지 않지만 사용자의 특별한 동의 없이 타 프로그램이 설치될 여지가 존재합니다.
728x90
반응형