본문 바로가기

벌새::Analysis

적립금 프로그램 : 위드모아(WithMoa) - WithMoa Totalpack 32bit (2011.2.24)

반응형
국내에서 제작된 인터넷 쇼핑몰 관련 적립금 위드모아(WithMoa) - WithMoa Totalpack 32bit 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 4893f11478cd41294bd69bd911bc6fd8)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Agent (VirusTotal : 27/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

해당 프로그램은 이미 작년에 한 번 살펴보았으며, 최근에 배포되는 프로그램은 파일 구성 일부가 변경된 상태로 확인이 됩니다.

현재 배포 방식이 다양한 제휴(스폰서) 프로그램 방식으로 설치가 이루어지는 형태인데, 적립금 프로그램은 반드시 해당 프로그램 서비스 사이트에 회원 가입을 통해 적립금이 누적되는 것으로 알려져 있으므로 실제 설치된 사용자의 경우에는 프로그램의 존재 자체도 알지 못하는 경우가 다반사로 추정되므로 사용하지 않는 분들은 삭제를 권장합니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\WithMoa\except.ini
C:\Program Files\WithMoa\IUtil.ini
C:\Program Files\WithMoa\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\WithMoa\widlib.dll
C:\Program Files\WithMoa\widmoa.dll :: BHO 등록 파일
C:\Program Files\WithMoa\widservice.exe :: Internet Explorer 실행시 메모리 상주 프로세스
C:\Program Files\WithMoa\withmoa.exe :: 시작 프로그램 등록 파일
C:\Program Files\WithMoa\withmoaun.exe
C:\WINDOWS\system32\withmoaAX.ocx

[생성 파일 진단 정보]

C:\Program Files\WithMoa\widmoa.dll (MD5 : bd3cce9bd5ccf1c3a81645975eedde39)
 - nProtect : Trojan-Clicker/W32.Agent.319488.Q (VirusTotal : 25/43)

C:\Program Files\WithMoa\withmoa.exe (MD5 : c362febaa1a2867d4d95b2cb6aa447c4)
 - AhnLab V3 : Win-Adware/WithMoa.368640 (VirusTotal : 28/43)

해당 프로그램은 [C:\Program Files\WithMoa] 폴더에 파일을 생성하며, Windows 시작시 withmoa.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[withmoa.exe 네트워크 연결 정보]

GET /reward/withmoa01/update.php HTTP/1.1
User-Agent: OpenPage
Host: withmoa.com


사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스의 자식으로 widservice.exe 프로세스가 메모리에 상주하는 것을 확인할 수 있습니다.

 
[추가 기능 관리 : 도구 모음 및 확장 프로그램]

widhmoa Object
 - 게시자 : 알 수 없음
 - CLSID : {46ABCABA-C7AF-49DF-92D8-A24EA2C9E9B4}
 - 파일 : C:\Program Files\WithMoa\widmoa.dll

사용자가 Internet Explorer 실행시 iexplore.exe 프로세스에 widmoa.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.


프로그램 삭제시에는 반드시 Internet Explorer 웹 브라우저를 모두 종료한 상태에서, 제어판의 [WithMoa Totalpack 32bit] 삭제 항목을 이용하여 삭제하실 수 있습니다.


프로그램 삭제 과정에서 그림과 같은 적립금 유지와 관련된 질문이 나오면 [아니오. 적립금에 관계없이 플러그인을 삭제하겠습니다.(적립금은 자동 소멸 됩니다.)] 항목을 체크해야지 삭제가 이루어지므로 참고하시기 바랍니다.

앞서 말한 것처럼 적립금 프로그램을 정상적으로 이용하려면 반드시 서비스 사이트 회원 가입을 해야하지만, 사용자가 제대로 인지하지 못하는 과정에서 설치되어 설치 여부조차 모르는 적립금 프로그램은 삭제를 하시는 것이 좋다고 개인적으로 생각됩니다.
728x90
반응형
  • 저같은경우엔 2011.04.03 00:52 댓글주소 수정/삭제 댓글쓰기

    프로그램 파일속에 위드모아 파일도 없고 프로그램 추가/제거에도 존재가 없는데 프로세스에는 항상 뜹니다 어떻게 하여야 하나요?

    • 그런 경우에는 프로세스에 뜬 파일의 위치를 확인해 보시기 바랍니다.

      Process Explorer라는 프로그램을 인터넷에서 다운로드하여 확인해 보시면 경로를 알 수 있습니다.