본문 바로가기

벌새::Analysis

적립금 프로그램 : 플러스백(PlusBag)

반응형
국내에서 제작된 적립금 프로그램 플러스백(PlusBag) 제품에 대해 살펴보도록 하겠습니다.

해당 프로그램의 제작사 서버에서 다운로드된 Setup 설치 파일(MD5 : ece5133a20e7ace6d69e2136ea285bf6)은 안철수연구소(AhnLab) 보안제품에서 Win-Trojan/Xema.variant 진단명으로 진단을 하고 있으며, 실제 설치 과정에서 어떠한 정보도 제공되지 않으므로 사용자 동의없이 설치될 위험성이 존재합니다.

참고로 해당 프로그램의 설치 파일은 악성코드로 진단하고 있으나, 실제 설치된 파일에 대해서는 진단하지 않는 것을 확인하였습니다.

생성 폴더, 파일 정보


해당 프로그램은 윈도우 시작시 plusbag.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 프로그램은 특별히 화면상에 프로그램을 동작하는 방식은 아니며, 메모리에 plusbags.exe 프로세스를 상주시키는 것을 확인할 수 있습니다.

사용자가 Internet Explorer를 실행시 iexplore.exe 프로세스에 plusbag.dll 파일을 BHO 방식으로 추가하여 동작하며, 프로그램에서 지정한 각종 온라인 쇼핑몰을 이용시 적립금을 누적하는 것으로 추정됩니다.

하지만, 실제 해당 프로그램을 정상적으로 이용하시려면 해당 프로그램의 서비스 업체에 회원 가입을 통한 적립금 누적 및 지급을 받을 수 있으므로 사용자 몰래 설치된 경우에는 시스템 자원 낭비 및 타인의 금전적 이득을 유발할 수 있습니다.


프로그램을 삭제하실 때에는 반드시 작업 관리자에서 plusbags.exe 프로세스를 수동으로 종료하신 후, 제어판의 [windows plusbag] 삭제 항목을 이용하여 삭제하실 수 있으며, 삭제 후에는 추가적으로 [%Program Files%\plusbag\uninstall.exe] 파일을 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{8928D110-C9C2-4375-B698-0A8A122AB6B8}
HKEY_CURRENT_USER\Software\plusbag
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\plusbag
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8928D110-C9C2-4375-B698-0A8A122AB6B8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - plusbag = C:\Program Files\plusbag\plusbag.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\plusbag

반응형