Adware - Windows Pluspackage Installer <다른 버전 : pluscashbag / 플러스캐쉬백>

입력일 : 2007.12.16

<유포 관련 정보><2007.12.15>
--> http://fantasy-actuality.tistory.com/205

- installcheck_first.exe   Win-Trojan/Downloader.45056.DG (V3)
- WA00.exe  Win-Trojan/Heuri.66560.D  (V3)

위와 같이 진단되는 다운로더 에 의해 설치되며, 유포시점에 따라 설치되는
애드웨어 명은 다를 수 있습니다.


 적립툴바라로 홍보되고 있는 애드웨어 .. 실제 적립여부는 확인하지 않음..
그러나 제작사가 불문명하고  악의적으로 배포되고 있음.
제가 못찾은 것인지 몰라도 사업자 등록번호 / 등  사업자가 믿을 만한 곳인지에 대한 정보를 얻을 수 없었다.

 적립툴바 사용하더라도 신용할 수 있는 것을 사용해야 할 듯 하다.

- 일부 기능

적립중이라는 표시나 추천사이트 제공 ..

<진단상황><2007.12.15>
--> 진단상황은 일부 누락되었을 수 있습니다.

1> 안철수 연구소

Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
= 일부만 진단

- Win-Adware/ToolBar.OkCashPlus.316952
- C:\Program Files\pluscashbag\uninstall.exe  Win-Trojan/Heuri.55296.G (V3)
- pluscashbag.exe  Win-Trojan/Downloader.118784.T  (V3)
- WA00.exe  Win-Trojan/Heuri.66560.D  (V3) 
                    --> Windows Pluspackage Installer  를 설치하는 다운로더
                --> 관련링크 http://fantasy-actuality.tistory.com/205

2> 하우리 (바이로봇)

Adware.PlusCashbag
Adware.PointManager

3> 네이버 툴바
= 일부만 진단

Grayware/OKcashreturn
Adware/CashPlus

<일부 파일 바이러스토탈 진단상황>

보안제품 사용자라면 최소한 알아야 할 진단명들
http://fantasy-actuality.tistory.com/20

File pluscashbag.exe received on 12.16.2007 09:35:59 (CET)
MD5: 8837dc7c66913a069d56dea478039d13
--> http://www.virustotal.com/resultado.html?75e908c8a55782a35c50eb5135fee447

File pluscashbag.exe received on 12.16.2007 09:35:59 (CET)
Antivirus	Last Update	Result
AhnLab-V3	2007.12.14	Win-Trojan/Downloader.118784.T
AntiVir	2007.12.14	TR/Dldr.Small.39424
Authentium	2007.12.16	-
Avast	2007.12.15	-
AVG	2007.12.15	-
BitDefender	2007.12.16	-
CAT-QuickHeal	2007.12.15	-
ClamAV	2007.12.15	-
DrWeb	2007.12.15	-
eSafe	2007.12.13	-
eTrust-Vet	2007.12.15	-
Ewido	2007.12.15	-
FileAdvisor	2007.12.16	-
Fortinet	2007.12.16	-
F-Prot	2007.12.16	-
F-Secure	2007.12.14	-
Ikarus	2007.12.16	Virus.Win32.Virut.a
Kaspersky	2007.12.16	-
McAfee	2007.12.14	potentially unwanted program Adware-BB
Microsoft	2007.12.16	Trojan:Win32/Vundo.R.dll
NOD32v2	2007.12.14	-
Norman	2007.12.13	-
Panda	2007.12.15	Suspicious file
Prevx1	2007.12.16	-
Rising	2007.12.14	-
Sophos	2007.12.15	-
Sunbelt	2007.12.15	Trojan-Downloader.Small.3
Symantec	2007.12.15	-
TheHacker	2007.12.14	-
VBA32	2007.12.15	-
VirusBuster	2007.12.16	-
Webwasher-Gateway	2007.12.16	Trojan.Dldr.Small.39424
Additional information
File size: 118784 bytes
MD5: 8837dc7c66913a069d56dea478039d13
SHA1: 11be5b2e33d90d3c476e963df48499672d883934
PEiD: Armadillo v1.71

<설치정보><2007.12.15>

HijackThis - 보안툴 <BHO 에 등록된 것을 제거시 도움되는 프로그램>
--> http://fantasy-actuality.tistory.com/103

애드웨어 삭제후  인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24



제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.

--> Windows Pluspackage Installer
<다른 버전 : pluscashbag / 플러스캐쉬백 / OkCashPlus>

<참고사항>

 보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.

윈도우 익스플로어 추가기능관리 (BHO) 아래 파일 등록

BHO: ViewSource Class - {A76602E1-33ED-4C42-867C-22D031159BFF}
- C:\Program Files\pluscashbag\pluscashbag.dll
Toolbar: ToolBar Class - {B111AF88-E1AA-48D9-8FF9-159B057FDCD6}
- C:\Program Files\pluscashbag\pluscashbag.dll
Extra button: 플러스캐쉬백 - {28179A88-0709-42D0-9BB9-C58B745AB69F}
- C:\Program Files\pluscashbag\pluscashbag.dll

시작프로그램에 아래항목 등록

[pluscashbag] "C:\Program Files\pluscashbag\pluscashbag.exe" /start


<설치 레지스터리 일부><2007.12.15>

HKEY_CLASSES_ROOT\CLSID\{A76602E1-33ED-4C42-867C-22D031159BFF}
HKEY_CLASSES_ROOT\CLSID\{B111AF88-E1AA-48D9-8FF9-159B057FDCD6}
HKEY_CLASSES_ROOT\CLSID\{C3D4FC58-8A7C-4092-B0A0-B45E670FFF72}
HKEY_CLASSES_ROOT\Interface\{076BF7B8-1495-43F3-A20C-7E3C94658BE0}
HKEY_CLASSES_ROOT\Interface\{0FFED86F-D9A4-4A72-A2B7-2E1647DFC45F}
HKEY_CLASSES_ROOT\Interface\{8903E521-825D-44AD-90C3-F1F9C5BEFA67}
HKEY_CLASSES_ROOT\Interface\{E3038A2A-8C42-44EE-A1FE-3F35E1B21464}
HKEY_CLASSES_ROOT\Pluscashbag.ToolBar
HKEY_CLASSES_ROOT\Pluscashbag.ToolBar.1
HKEY_CLASSES_ROOT\Pluscashbag.ViewSource
HKEY_CLASSES_ROOT\Pluscashbag.ViewSource.1
HKEY_CLASSES_ROOT\Pluscashbaggetinfo.Util
HKEY_CLASSES_ROOT\Pluscashbaggetinfo.Util.1
HKEY_CLASSES_ROOT\TypeLib\{62BFF949-CF12-4C0D-A716-FFDE0A16A2B0}\1.0
HKEY_CLASSES_ROOT\TypeLib\{CE4EE293-710B-48F1-800F-09B39661E14E}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A76602E1-33ED-4C42-867C
-22D031159BFF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B111AF88-E1AA-48D9-8FF9
-159B057FDCD6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C3D4FC58-8A7C-4092-B0A0
-B45E670FFF72}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{076BF7B8-1495-43F3-A20C
-7E3C94658BE0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0FFED86F-D9A4-4A72
-A2B7-2E1647DFC45F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8903E521-825D-44AD
-90C3-F1F9C5BEFA67}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DEB1326A-2486-4817
-A7CC-F780DBA64F76}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3038A2A-8C42
-44EE-A1FE-3F35E1B21464}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pluscashbag.ToolBar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pluscashbag.ToolBar.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pluscashbag.ViewSource
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pluscashbag.ViewSource.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pluscashbaggetinfo.Util
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pluscashbaggetinfo.Util.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{62BFF949-CF12
-4C0D-A716-FFDE0A16A2B0}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CE4EE293-710B
-48F1-800F-09B39661E14E}\1.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{28179A88-0709-42D0-9BB9-C58B745AB69F}  
    BandCLSID REG_SZ {B111AF88-E1AA-48D9-8FF9-159B057FDCD6} 
    ButtonText REG_SZ 플러스캐쉬백 
    CLSID REG_SZ {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}
    Default Visible REG_SZ Yes add 
    HotIcon REG_SZ C:\Program Files\pluscashbag\pluscashbag.dll,202  
    Icon REG_SZ C:\Program Files\pluscashbag\pluscashbag.dll,201
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar  
    {B111AF88-E1AA-48D9-8FF9-159B057FDCD6} REG_BINARY
     C:\Program Files\pluscashbag\pluscashbag.dll,201
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\uncashplus
    check REG_SZ y add 
    iv REG_SZ pluscashbag add 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    pluscashbag REG_SZ "C:\Program Files\pluscashbag\pluscashbag.exe" /start
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
\pluscashbag
    DisplayName REG_SZ Windows Pluspackage Installer
    UninstallString REG_SZ C:\Program Files\pluscashbag\uninstall.exe
HKEY_LOCAL_MACHINE\SOFTWARE\pluscashbag\data


<설치 폴더 일부><2007.12.15>

c:\Program Files\pluscashbag
	License.txt	2007-09-06 22:31.28	4,496
	pluscashbag.dll	2007-09-06 22:09.36	316,952
	pluscashbag.exe	2007-09-06 22:29.42	118,784
	pluscashbaggetinfo.dll	2007-09-06 22:09.44	83,480
	pluscashbaginst.dll	2007-09-05 17:47.50	99,856
	pluscashbagno.dat	2007-12-03 11:48.18	13
	pluscashbagok.dat	2007-12-03 02:46.00	33,397
	uninstall.exe	2007-09-06 22:30.42	55,296

<재부팅후 삽입되는 레지 정보>

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
  {540720FD-2D8F-4D3C-8D6E-E8D2C4663EC1}
      REG_BINARY {C68DDFAA-0C9E-4833-9C75-D194A5CA0FDE}
HKEY_LOCAL_MACHINE\SOFTWARE\pointmanager\data
  cbbh REG_SZ 24
  cbbuseban REG_SZ n
  cbforcefilter REG_SZ n
  cbusedontwork REG_SZ y
  datdataver REG_SZ 2 
  dontworkfilter REG_SZ X1Ey`FIgX1svaGUyHP<< 
  lc REG_SZ 1 
  ls REG_SZ 10 


<직접 삭제 방법>

1> 레지스터리 삽입값 제거
--> 시작 - 실행 - regedit
--> 상기 언급된 레지정보중 빨간색으로 표시된 것을 검색으로 찾거나 직접찾아 삭제
레지스터리 수동삭제 후 인터넷 주소줄 검색창이 살아진다면 아래링크 참고 하여 복구

 
애드웨어 삭제후  인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24

2> 상기 언급된 파일 및 설치폴더 삭제
--> 일부 사용중이라며 파일이 삭제되지 않을 경우 아래 참조하여 삭제 하시거나
재부팅후 삭제 하십시오. 

HijackThis - 보안툴
http://fantasy-actuality.tistory.com/103

3> 재부팅전에 주의해야 할 사항

시작 - 실행 - MSconfig 실행후 시작프로그램 목록을 확인하여 의심스러운 항목 제거

추가사항 - 일련의 조치가 제대로 되지 않을 경우 안전모드 부팅후 다시 시도해보세여.
부팅후 F8 연속 눌러 줍니다.. 제시되는 선택창에서 안전모드 선택 .