본문 바로가기

벌새::Analysis

적립금 프로그램 - 쇼핑백(Shopping bags)

반응형

제작사 메인 화면



(주)에이아이크리에이션에서 서비스하는 쇼핑백(Shopping bags) 적립 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 타 프로그램과 동일하게 프로그램을 설치하고 회원가입을 한 상태에서 쇼핑백에서 제휴한 업체에서 구매를 하였을 경우 일정한 적립금을 제공하는 시스템으로 보입니다.



설치시 이용약관에 동의한 경우 설치가 진행되며, 자세한 설치 경로 등의 정보는 제공하지 않습니다.


[쇼핑백 생성 파일 진단 상태 - 안철수연구소(AhnLab)]

%ProgramFiles%\webags\webagsi.ocx (Win-Adware/Webags.289872)
%ProgramFiles%\webags\update.exe (Win-Downloader/Webags.335872)
%ProgramFiles%\webags\uninstaller.exe (Win-Adware/Webags.278528)

%Temp%\installer.zip
 - webagsi.ocx (Win-Adware/Webags.289872)
 - update.exe (Win-Downloader/Webags.335872)
 - uninstaller.exe (Win-Adware/Webags.278528)

설치된 쇼핑백 적립 프로그램은 현재 보안 제품에서 애드웨어(Adware), 다운로더(Downloader) 관련 진단명으로 진단이 이루어지고 있습니다.


[BHO 등록]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44F6F16E-9248-4F7C-BA68-E6EB8FABD973}
 - Webagswebags = c:\program files\webags\webags.dll 


[시작 프로그램 등록]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - webags = c:\program files\webags\update.exe

해당 프로그램의 삭제에는 큰 문제점이 있습니다.

실제 제어판에서는 해당 프로그램의 삭제 항목이 존재하지 않으며, 설치 폴더에 있는 삭제 관련 파일 uninstaller.exe 파일은 동작하지 않습니다. 또한 제작사 홈페이지에서 제공하는 파일 역시 uninstaller.exe 파일과 동일한 파일입니다.

그러므로 해당 프로그램을 삭제시에는 수동으로 삭제를 하시거나 보안 제품을 이용하여 시스템 전체 검사를 하여 치료를 하시기 바랍니다.

여기에서는 수동으로 삭제하는 방법을 간단하게 살펴보도록 하겠습니다.(삭제시에는 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

1. 등록된 BHO, 시작 프로그램 항목의 체크 해제 (AutoRuns 프로그램 이용)

2. 윈도우 탐색기를 이용하여 설치된 폴더 수동 삭제
 - %ProgramFiles%\webags
 - %Temp%\installer.zip

3. [시작 - 실행 - regedit]을 이용하여 검사값 webags 레지스트리 항목 검색 및 삭제

4. 삭제되지 않는 일부 레지스트리 권한 설정 변경 및 삭제

HKEY_LOCAL_MACHINE\software\Classes\WEBAGSI.webagsiCtrl.1
HKEY_LOCAL_MACHINE\software\Classes\webags.webagsVBAR.1
HKEY_LOCAL_MACHINE\software\Classes\webags.webagsVBAR
HKEY_LOCAL_MACHINE\software\Classes\webags.webagsOBJ.1
HKEY_LOCAL_MACHINE\software\Classes\webags.webagsOBJ
HKEY_LOCAL_MACHINE\software\Classes\webags.webagsBHO.1
HKEY_LOCAL_MACHINE\software\Classes\webags.webagsBHO


테스트에서는 일부 레지스트리 항목이 수동으로 삭제가 되지 않는 항목이 있었습니다.

이런 경우에는 [지워지지 않는 ActiveX 삭제하기]를 참고하시면서 위의 그림과 같이 해당 레지스트리에 마우스 우클릭을 통해 [사용 권한]에 접근을 합니다.


해당 항목의 사용 권한에서 [모든 권한 - 허용] 항목에 체크를 하여 적용을 한 후, 다시 지워지지 않는 레지스트리를 수동으로 삭제를 해 보시기 바랍니다.

일반적으로 위와 같이 삭제를 지원하지 않는 경우에는 보안 제품에서 진단할 확률이 높습니다. 그러므로 안전한 삭제를 원하신다면 보안 제품을 이용하시기 바라며, 삭제를 지원하지 않는 프로그램의 경우에는 보안 업체에 신고를 하여 검토를 받는 것이 좋은 것 같습니다.
728x90
반응형