본문 바로가기

벌새::Analysis

적립금 프로그램 : 보너스캐쉬(BonusCash)

국내에서 배포되는 적립금 프로그램 보너스캐쉬(BonusCash)에 대해 살펴보도록 하겠습니다.

생성 폴더, 파일 정보


[BonusCashDll.dll 파일 진단 정보 - MD5 : 60bd235b165e3770f11ced8922c05b77]



해당 프로그램을 설치하면 BonusCashDll.dll 생성 파일에 대해 국내외 유명 보안제품에서 백도어(Backdoor)로 진단을 하고 있는 것을 확인할 수 있습니다.

설치된 프로그램은 BonusCash.exe / BC2001.exe 프로세스를 생성하여 동작을 하며 삭제를 하기 위해서는 반드시 해당 프로세스를 수동으로 종료를 하시고 삭제를 진행하시기 바랍니다.

해당 프로그램의 기본 동작은 시작 프로그램으로 BonusCash.exe 파일이 등록되어 있으며, Internet Explorer를 이용하여 사용자가 특정 쇼핑몰에서 구매를 할 경우 포인트를 적립하는 방식이며, 회원 가입을 통한 적립이 가능하다고 안내를 하고 있습니다.


프로그램의 삭제는 제어판의 [BonusCash] 삭제 항목을 이용하여 삭제하실 수 있지만, 보안제품에서 악성코드로 진단하는 것을 고려한다면 반드시 삭제 후에 보안제품을 통해 확인을 하시기 바랍니다.

특히 해당 프로그램은 BHO 방식으로 동작하므로 삭제시에는 반드시 모든 프로그램을 종료하시고 삭제를 하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{012C7D93-B5A0-4be3-A2F8-A02BF1EE5751}
HKEY_CLASSES_ROOT\CLSID\{F2CF5485-4E02-4f68-819C-B92DE9277049}\InProcServer32
 - MenuTextPUI = @ieframe.dll,-13138
HKEY_CLASSES_ROOT\Interface\{9FF43820-C325-440A-BEB2-03D925D13E3E}
HKEY_CLASSES_ROOT\Reward.RewardCtl
HKEY_CLASSES_ROOT\Reward.RewardCtl.1
HKEY_CLASSES_ROOT\TypeLib\{02C54EF6-3CE2-4B40-BD1F-6F75717C6991}
HKEY_CURRENT_USER\software\BonusCash
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{012C7D93-B5A0-4be3-A2F8-A02BF1EE5751}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F2CF5485-4E02-4f68-819C-B92DE9277049}\InProcServer32
 - MenuTextPUI = @ieframe.dll,-13138
HKEY_LOCAL_MACHINE\software\Classes\Interface\{9FF43820-C325-440A-BEB2-03D925D13E3E}
HKEY_LOCAL_MACHINE\software\Classes\Reward.RewardCtl
HKEY_LOCAL_MACHINE\software\Classes\Reward.RewardCtl.1
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{02C54EF6-3CE2-4B40-BD1F-6F75717C6991}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{012C7D93-B5A0-4be3-A2F8-A02BF1EE5751}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - BonusCash = C:\Program Files\BonusCash\BonusCash.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\BonusCash