반응형
오마이비즈 업체에서 서비스하는 적립금 프로그램 캐쉬백모아(Cashbackmoa) 제품에 대해 살펴보도록 하겠습니다.
MD5 : 679c800f5971e65cda9c91f7cd8a197f
제품의 설치 단계에서는 어떠한 이용약관을 제공하지 않으면서 그림과 같이 약관에 동의를 하였다고 표시가 되고 있습니다. 단지 해당 제작사 홈페이지에서는 회원 가입 단계에서 이용약관을 제시하고 있는 것을 확인할 수 있었습니다.
생성 폴더, 파일 정보
[생성 레지스트리 정보]
HKEY_CLASSES_ROOT\cashbackmoa.cashbackmoaObj
HKEY_CLASSES_ROOT\cashbackmoa.cashbackmoaObj.1
HKEY_CLASSES_ROOT\CLSID\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
HKEY_CLASSES_ROOT\Interface\{30D84BF9-E1D6-4665-8D8B-60C5526F5CD5}
HKEY_CLASSES_ROOT\TypeLib\{C10C57B3-8570-4604-B136-1AE2E8910F4C}
HKEY_CURRENT_USER\software\cashbackmoa
HKEY_LOCAL_MACHINE\software\cashbackmoa
HKEY_LOCAL_MACHINE\software\Classes\cashbackmoa.cashbackmoaObj
HKEY_LOCAL_MACHINE\software\Classes\cashbackmoa.cashbackmoaObj.1
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{30D84BF9-E1D6-4665-8D8B-60C5526F5CD5}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{C10C57B3-8570-4604-B136-1AE2E8910F4C}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\cashbackmoa
HKEY_USERS\current\Software\cashbackmoa
HKEY_USERS\S-1-5-21-1659004503-1767777339-682003330-1004\software\cashbackmoa
HKEY_CLASSES_ROOT\cashbackmoa.cashbackmoaObj
HKEY_CLASSES_ROOT\cashbackmoa.cashbackmoaObj.1
HKEY_CLASSES_ROOT\CLSID\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
HKEY_CLASSES_ROOT\Interface\{30D84BF9-E1D6-4665-8D8B-60C5526F5CD5}
HKEY_CLASSES_ROOT\TypeLib\{C10C57B3-8570-4604-B136-1AE2E8910F4C}
HKEY_CURRENT_USER\software\cashbackmoa
HKEY_LOCAL_MACHINE\software\cashbackmoa
HKEY_LOCAL_MACHINE\software\Classes\cashbackmoa.cashbackmoaObj
HKEY_LOCAL_MACHINE\software\Classes\cashbackmoa.cashbackmoaObj.1
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{30D84BF9-E1D6-4665-8D8B-60C5526F5CD5}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{C10C57B3-8570-4604-B136-1AE2E8910F4C}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\cashbackmoa
HKEY_USERS\current\Software\cashbackmoa
HKEY_USERS\S-1-5-21-1659004503-1767777339-682003330-1004\software\cashbackmoa
설치된 프로그램은 추가적으로 WebGuideBar 폴더를 생성하고 내부에는 비어 있는 것을 확인할 수 있는데, 이는 Cashbackmoa 생성 파일 Updater.exe 내부 문자열을 확인해 보면, 그림과 같이 추가적으로 설치되는 프로그램을 생성하는 기능이 포함되어 있는 것을 확인할 수 있습니다.
제작사 이용약관에서도 추가적으로 사용자 PC에 위와 같은 프로그램을 설치할 수 있다고 언급되어 있습니다.
[BHO 등록 정보]
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
- C:\PROGRA~1\CASHBA~1\CASHBA~1.DLL
※ HKEY_CLASSES_ROOT\CLSID\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
- C:\PROGRA~1\CASHBA~1\CASHBA~1.DLL
※ HKEY_CLASSES_ROOT\CLSID\{1DFE8CBB-BF20-4ccf-B24E-AA47CB3985DA}
해당 프로그램의 동작은 사용자가 Internet Explorer를 이용할 경우 등록된 BHO 방식을 통하여 특정 쇼핑몰에 접근하여 구매활동을 할 경우 포인트가 적립되는 방식입니다.
테스트에서는 구글(Google) 검색을 통하여 인터파크(Interpark) 쇼핑몰에 접근시 그림과 같이 정상적인 컴퓨터 사용을 방해하는 모습을 확인할 수 있었습니다.
검색에서 제공하는 쇼핑몰 링크를 클릭할 경우 해당 사이트 접근을 차단하고 해당 프로그램의 페이지로 이동하여 광고 링크를 제공하는 것을 확인할 수 있습니다.
shoplist 파일 내부 문자열
해당 프로그램 설치 폴더 내에 존재하는 shoplist 파일의 문자열을 살펴보면 각종 사이트 명칭이 제시되어 있으며, 일부 성인 사이트도 확인할 수 있습니다.
특히 해외 보안제품이 진단하는 BHO 등록 파일 cashbackmoa.dll 파일의 경우 파일 속성값에서 제작 회사가 마이크로소프트(Microsoft)로 표기되어 있는 것을 확인할 수 있었습니다. 이는 일반 사용자가 확인할 경우 정상적인 윈도우 관련 파일로 오해를 할 수 있는 부분입니다.
해당 파일은 제작사에 회원가입을 한 아이디, 맥 어드레스(Mac Address) 값 등을 통해 쇼핑 등록 사이트 목록에서 구매 활동을 통한 적립금을 누적하도록 구성된 것으로 보입니다.
제품의 삭제는 제어판의 [Windows cashbackmoa] 삭제 항목을 이용하여 삭제할 수 있는데, 삭제 항목의 이름 역시 Windows 명칭을 앞에 두어 찾기 어렵게 만들지 않았나 생각됩니다.
[수동 삭제 폴더 정보]
C:\Program Files\WebGuideBar
C:\Program Files\WebGuideBar
전체적으로 해당 프로그램은 회원 가입을 하지 않은 상태에서 컴퓨터에 설치된 경우 인터넷 이용에 불편함을 야기할 수 있는 요소가 있으므로 자신의 컴퓨터에 해당 프로그램이 설치되어 있다면 삭제를 하시기 바랍니다. 또한 현재의 테스트에서는 추가적인 프로그램 설치가 이루어지지 않지만 사용자의 특별한 동의 없이 타 프로그램이 설치될 여지가 존재합니다.
728x90
반응형