특정 웹 사이트 방문시 사용자 몰래 제휴 코드를 추가하여 특정 조건을 만족시킬 경우 수익을 창출하는 검색 도우미 "Wellbinga System" 프로그램(MD5 : 98d4ccb18e973f66d7e963e849a3c1af)에 대해 살펴보도록 하겠습니다.
▶ <2011년~2012년 관련 정보> 검색 도우미 : Windows Plus (2012.12.11) 외 10종
▶ <2013년 1/4분기 관련 정보> 검색 도우미 : mxwho Control (2013.3.23) 외 5종
▷ 국내 악성코드 : Mscryp Control (2013.4.5)
▷ 검색 도우미 : Foxcorn Plugin (2013.4.18)
▷ 검색 도우미 : Sppen Plugin (2013.5.12)
해당 프로그램은 기존부터 다양한 이름을 가진 변종 프로그램들이 발견되고 있으므로 참고하시기 바랍니다.
프로그램 설치 과정을 살펴보면 "C:\Program Files\wellbinga\wellbingsetup.exe" 파일(MD5 : b23a2cd7457cbe01cc72c91eed88d6b0)을 생성하여 프로그램 설치 후 자가 삭제 처리되고 있습니다.
C:\Program Files\wellbinga
C:\Program Files\wellbinga\unins000.dat
C:\Program Files\wellbinga\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\wellbinga\wellbinga.exe :: 메모리 상주 프로세스
C:\Program Files\wellbinga\wellbingup.dat
C:\Program Files\wellbinga\wellbingup.exe :: 시작 프로그램 등록 파일
C:\Program Files\wellbinga\wellclean.exe
C:\Program Files\wellbinga\wellbingup.exe
- MD5 : 81fdaf837f8daf6d55f95677f8ba384d
- AhnLab V3 : PUP/Win32.WindowsLiveProtect (VT : 5/47)
해당 프로그램은 "C:\Program Files\wellbinga" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\wellbinga\wellbingup.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 프로그램 업데이트 체크 후 "C:\Program Files\wellbinga\wellbinga.exe" 파일을 메모리에 상주시킵니다.
프로그램이 설치된 환경에서 G마켓, 옥션 등 프로그램에서 지정한 특정 웹 사이트 접속 과정에서 리다이렉트를 통해 제휴 코드(click.interich.com)가 추가되는 동작을 확인할 수 있습니다.
해당 광고 동작은 메모리에 상주하는 wellbinga.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 wellbinga.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "wellbinga system" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- wellbinga = C:\Program Files\wellbinga\wellbingup.exe
HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionRun
- wellbinga = C:\Program Files\wellbinga\wellbinga.exe
HKEY_LOCAL_MACHINE\SOFTWARE
- a = (영문 + 숫자)
- ActiveDate = 2013-(월)-(일)
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
- wellbinga = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- wellbinga = C:\Program Files\wellbinga\wellbingup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wellbinga_is1
HKEY_LOCAL_MACHINE\SOFTWARE\wellbinga
출처를 확인할 수 없는 "Wellbinga System" 프로그램은 사용자가 인터넷을 통해 물건 구매를 하는 과정에서 프로그램 제작자(배포자)에게 금전적 수익이 발생하는 구조이며, 현재 파악된 유포 방식이 사용자 몰래 설치된 악성 파일을 통해 다운로드가 이루어지는 것으로 보이므로 주의하시기 바랍니다.
☞ iSafePlus ver 2.0 설치시 추가되는 FGSVC32.exe 악성 파일 주의 (2013.6.30)
☞ 알약(ALYac) 아이콘으로 위장한 Win-Trojan/Urelas 악성코드 유포 주의 (2013.7.3)