본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Allbid 3.0

국내에서 제작되어 특정 10원 경매 관련 소셜커머스 쇼핑 사이트 알리미 기능을 하는 Allbid 3.0 프로그램에 대해 살펴보도록 하겠습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\10원 쇼핑 - 다비드.url
C:\Documents and Settings\(사용자 계정)\Favorites\10원 쇼핑 - 다비드.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\10원 쇼핑 - 다비드.url
C:\Documents and Settings\(사용자 계정)\시작 메뉴\10원 쇼핑 - 다비드.url
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\다비드 3.0
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\다비드 3.0\다비드 프로그램 소개.url
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\다비드 3.0\다비드 프로그램 실행.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\다비드 3.0\다비드 홈페이지.url
C:\Documents and Settings\All Users\Application Data\Allbid 3.0
C:\Program Files\Allbid 3.0
C:\Program Files\Allbid 3.0\albhis.dll
C:\Program Files\Allbid 3.0\albsvc.exe :: 서비스 등록 파일
C:\Program Files\Allbid 3.0\Allbid.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Allbid 3.0\Allbid.ico
C:\Program Files\Allbid 3.0\AllbidC.exe
C:\Program Files\Allbid 3.0\AllbidUP.exe
C:\Program Files\Allbid 3.0\Uninstall.exe :: 프로그램 삭제 파일

해당 프로그램은 [C:\Program Files\Allbid 3.0] 폴더에 파일을 생성하며, Windows 시작시 Allbid.exe(시작 프로그램 등록) 파일과 albsvc.exe(서비스 등록) 파일이 자동 실행되도록 구성되어 있습니다.


Windows 시작시마다 바탕화면에 그림과 같은 광고창이 생성되는 동작을 확인할 수 있습니다.


또한 Allbid.exe 파일이 메모리에 상주하면서 시스템 트레이 상에 아이콘 생성 및 일정 시간마다 좌측 그림과 같은 광고 팝업창을 생성하는 동작을 확인할 수 있습니다.


추가적으로 빠른 실행, 즐겨찾기, 시작 메뉴, 바탕화면 바로가기 아이콘 생성을 통해 사이트 접속을 유도하고 있으며, 사용자가 해당 항목을 수동으로 삭제를 하여도 Windows 시작시마다 다시 생성되는 동작을 확인할 수 있습니다.


해당 프로그램은 [C:\Program Files\Allbid 3.0\albsvc.exe] 파일을 서비스 항목에 albsvc(Allbid Update Service)로 등록하여 프로그램 삭제를 하지 않은 상태에서 바로가기 아이콘 등을 삭제하여도 재설치를 하도록 동작하고 있습니다.


프로세스 정보를 살펴보면 services.exe 프로세스의 자식으로 albsvc.exe 프로세스가 등록되어 있으며, Allbid.exe 프로세스가 메모리에 상주하는 것을 확인할 수 있습니다.

 
프로그램 삭제시에는 먼저 실행창에 [sc stop "albsvc"] 명령어를 이용하여 서비스를 종료한 후, 작업 관리자에서 Allbid.exe 프로세스를 수동으로 종료하시기 바랍니다.


그 후 제어판의 [Allbid 3.0] 삭제 항목을 이용하여 프로그램을 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Allbid 3.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Allbid 3.0 = "C:\Program Files\Allbid 3.0\Allbid.exe" -h -b
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Allbid 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALBSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\albsvc

일부 사용자들의 경우 바탕화면 바로가기 등을 삭제 후에도 다시 생성되는 문제로 고생을 하시는 경우에는 이런 바로가기 아이콘을 매번 설치하게 만드는 프로그램이 사용자 PC에서 삭제되지 않기 때문이므로 서비스 항목과 시작 프로그램 항목을 확인하여 삭제를 함께 하시기 바랍니다.