본문 바로가기

벌새::Analysis

적립금 프로그램 : 위드모아(WithMoa) - WithMoa Totalpack 32bit

728x90
반응형
국내에서 제작된 적립금 프로그램 위드모아(WithMoa) 제품에 대해 살펴보도록 하겠습니다.


해당 프로그램은 설치 과정에서 위드모아 프로그램 설치 완료 다음 단계에 그림과 같은 추가적인 제휴(스폰서) 프로그램이 존재하므로 참고하시기 바랍니다.

또한 설치 중 [C:\Documents and Settings\(사용자 계정)\Application Data\homsc0.exe] 파일을 생성하는 동작이 있으며, 해당 파일(MD5 : b4938c01482c9a782e78fd3318e94687)에 대하여 nProtect 보안 제품에서는 Trojan-Clicker/W32.Agent.137398 (VirusTotal : 28/41) 진단명으로 진단을 하고 있습니다.

[관련 URL 정보]

h**p://end***.com/nzell_app/reward.chk
h**p://www.with***.com/count/insert.php?pid=withmoa&kind=1
h**p://www.with***.com/count/insert.php?pid=withmoa&kind=4
h**p://with***.com/reward/withmoa01/update.php
h**p://update.sol***.co.kr/withmoa_update_20100128.exe
h**p://www.with***.com/count/update.php?pid=withmoa&kind=1
h**p://app.zio***.co.kr/total_packs.exe
h**p://www.with***.com/count/insert.php?pid=withmoa&kind=3

[생성 파일 진단 정보]

C:\Program Files\WithMoa Software\withmoa.dll (AhnLab V3 : Trojan/Win32.Agent)

해당 프로그램은 [WithMoa Software] 폴더에 프로그램을 설치하고 있으며, 추가적으로 [total_pack] 폴더를 추가하는 동작을 확인할 수 있습니다.

Windows 시작시 withmoaup.exe 파일을 시작 프로그램으로 등록하여 자동 실행을 통해 다음과 같은 동작을 하고 있습니다.

[withmoaup.exe 네트워크 연결 정보]

GET /reward/withmoa01/update.php HTTP/1.1
User-Agent: OpenPage
Host: withmoa.com

withmoaup.exe 파일이 실행될 경우 위에서 언급한 homsc0.exe 악성 파일을 생성하여 다음의 2개의 파일을 생성(업데이트)하는 동작을 합니다.

C:\Program Files\WithMoa Software\IUtil.ini
C:\Program Files\WithMoa Software\withmoa.dll

IUtil.ini 파일은 국내 특정 인터넷 쇼핑몰 관련 제휴 코드를 암호화하여 다수 등록하고 있으며, withmoa.dll 파일은 BHO 방식으로 등록하여 사용자가 인터넷을 통한 등록된 쇼핑몰에서 구매활동을 할 경우 프로그램 배포자에게 수익이 발생할 것으로 추정됩니다.

이는 적립금 프로그램 방식이 회원 가입을 통해 이루어지는 것과는 관계없이 이루어지는 것이 아닌가 개인적으로 생각되며, 이로 인하여 보안 제품에서 진단되고 있으리라 생각됩니다.


Internet Explorer에서 제공하는 추가 기능 관리에서는 게시자를 알 수 없는 [withmoaBHO Class] 항목이 등록되어 withmoa.dll 파일과 연결되어 있는 것을 확인할 수 있습니다.


실제 적립금 프로그램을 제공하는 업체에 회원 가입을 하지 않은 상태에서 프로그램이 설치된 경우, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 withmoa.dll 파일이 BHO 방식으로 등록되어 동작하는 것을 확인할 수 있습니다.


프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [WithMoa Totalpack 32bit] 삭제 항목을 이용하여 삭제하실 수 있습니다.


프로그램 삭제 과정에서 제시되는 [플러그인 삭제 안내] 화면의 적립금 유지와 관련된 선택 부분에서는 [아니오. 적립금에 관계없이 플러그인을 삭제하겠습니다.] 항목을 선택하신 후 진행하시기 바랍니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.

C:\Program Files\total_pack
C:\Program Files\total_pack\msvcr80.dll
C:\Documents and Settings\(사용자 계정)\Application Data\total_pack
[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\withmoa.DLL
HKEY_CLASSES_ROOT\AppID\{C6DA670A-A100-4CE6-A1A2-4CAB6A1191A9}
HKEY_CLASSES_ROOT\CLSID\{280F7961-F4C8-4611-862B-599E70775EE9}
HKEY_CLASSES_ROOT\CLSID\{84806318-6078-44A2-8B0A-DD1BCD94B73D}
HKEY_CLASSES_ROOT\CLSID\{EA1BC210-8085-44B3-9574-A6C4969A5155}
HKEY_CLASSES_ROOT\Interface\{34577B90-6B77-46FB-BD89-BFEDB7A90DBF}
HKEY_CLASSES_ROOT\Interface\{8F733690-1B92-488A-8477-2FB7010F6B6B}
HKEY_CLASSES_ROOT\Interface\{9C285B0E-F8F7-4F23-82EC-62459F18A4D2}
HKEY_CLASSES_ROOT\TypeLib\{007E494C-CF45-44B4-B92D-0559FAE64754}
HKEY_CLASSES_ROOT\TypeLib\{50671E32-6020-445D-A678-863476AD2773}
HKEY_CLASSES_ROOT\withmoa.withmoaBHO
HKEY_CLASSES_ROOT\withmoa.withmoaBHO.1
HKEY_CLASSES_ROOT\WITHMOAAX.withmoaAXCtrl.1
HKEY_CURRENT_USER\Software\withmoa
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{84806318-6078-44A2-8B0A-DD1BCD94B73D}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - withmoa = C:\Program Files\WithMoa Software\withmoaup.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\withmoa uninstall
HKEY_LOCAL_MACHINE\software\total_pack
HKEY_LOCAL_MACHINE\software\withmoa

일반적으로 적립금 프로그램의 정상적인 방식은 사용자가 반드시 해당 서비스 업체에 회원 가입을 통해서 적립이 이루어지는 방식이므로, 회원 가입을 하지 않을 경우에는 사용자 컴퓨터에서 프로그램을 삭제하시기를 권장합니다.

728x90
반응형