해당 프로그램은 Windows 시작시 WebPlus.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 메모리에 상주하도록 구성되어 있습니다.
해당 프로그램이 설치된 환경에서의 기본적인 동작 방식은 사용자가 웹 브라우저 주소창에 프로그램에 등록된 특정 인터넷 쇼핑몰, 은행, 카드사, 포털 사이트를 입력할 경우 특정 도메인을 경유한 광고 코드를 추가하여 접속하도록 구성되어 있습니다.
여기에서 해당 연결 도메인을 접속해보면 다음과 같은 2가지 정보를 확인할 수 있습니다.
첫째, [go.wal****.com] 도메인에 접속할 경우 자동으로 네이버(Naver) 홈페이지로 포워딩이 이루어지고 있다는 점입니다.
둘째, 해당 도메인의 상위 도메인 [wal****.com]에 접속할 경우 분석을 목적으로 하지 않는 경우 티스토리(Tistory)에서 제공하는 안내창으로 오해를 유발하는 화면을 확인할 수 있었습니다.
해당 메시지는 티스토리에서 제공하는 특정 블로그 또는 게시물에 접속할 경우 삭제되거나 존재하지 않는 계정일 경우 안내하는 메시지와 동일한데, 해당 화면에서 제공하는 ②번 티스토리 로고(Logo)와 ④번 그림 파일이 티스토리 서버에서 가져오는 것이 아닌 [wal****.com] 도메인에서 불러오고 있는 것을 확인할 수 있습니다.
그러므로 해당 도메인은 특정 티스토리 계정의 외부 도메인이 아닌 티스토리 화면을 복사하여 사용자 눈을 속이고 있다고 판단할 수 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
{8F574794-EC09-4BAC-9FDA-323D19FD31E8} - 게시자 : 알 수 없음 - CLSID : {8F574794-EC09-4BAC-9FDA-323D19FD31E8} - 파일 : C:\Program Files\WebPlus\WebPlus.dll
프로세스 정보를 살펴보면 WebPlus.exe 프로세스는 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 WebPlus.dll 파일을 BHO 방식으로 등록하여 동작하는 것을 확인할 수 있습니다.
WebPlus.dll WebPlus.dll 파일 내부 정보를 확인해보면 특정 인터넷 쇼핑몰, 은행, 카드사, 포털 사이트 접속시 자신들의 도메인을 경유하도록 구성한 것을 확인할 수 있는데, 금융권 사이트 접속시 특정 도메인을 경유하는 문제는 보안상 문제가 발생할 수 있으므로 문제가 있다고 판단됩니다.
프로그램 삭제시에는 작업 관리자에서 WebPlus.exe 프로세스를 수동으로 종료한 후, 제어판의 [WebPlus] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 [C:\Program Files\WebPlus] 폴더를 수동으로 삭제하시기 바랍니다.
