반응형
국내에서 제작되어 검색 도우미로 소개되고 있는 RichCat 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : d34ac823eec38c568a6adc521df69946)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.VB (VirusTotal : 16/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
해당 프로그램의 설치 파일(MD5 : d34ac823eec38c568a6adc521df69946)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.VB (VirusTotal : 16/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
또한 해당 프로그램은 기존의 gSearch / InfoG 시리즈의 변종으로 추정되므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Program Files\shipshape\shipshape.dll :: BHO 등록 파일
C:\Program Files\shipshape\shipshape.exe :: 시작 프로그램 등록 파일
C:\Program Files\shipshape\shipshapeun.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\inetko.dll
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\msvbvm60.dll
C:\WINDOWS\system32\shipmentsetup.exe
C:\WINDOWS\system32\VB6KO.DLL
C:\Program Files\shipshape\shipshape.dll :: BHO 등록 파일
C:\Program Files\shipshape\shipshape.exe :: 시작 프로그램 등록 파일
C:\Program Files\shipshape\shipshapeun.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\inetko.dll
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\msvbvm60.dll
C:\WINDOWS\system32\shipmentsetup.exe
C:\WINDOWS\system32\VB6KO.DLL
[생성 파일 진단 정보]
C:\Program Files\shipshape\shipshapeun.exe (MD5 : 8554de2f90775fc7ac50b554fa94fc12)
- AhnLab V3 : Malware/Win32.Generic (VirusTotal : 10/41)
C:\WINDOWS\system32\shipmentsetup.exe (MD5 : 3c7cdd62e55f9c05afe5060cb30c59b5)
- Kaspersky : Trojan-Downloader.Win32.VB.afiz (VirusTotal : 16/43)
C:\Program Files\shipshape\shipshapeun.exe (MD5 : 8554de2f90775fc7ac50b554fa94fc12)
- AhnLab V3 : Malware/Win32.Generic (VirusTotal : 10/41)
C:\WINDOWS\system32\shipmentsetup.exe (MD5 : 3c7cdd62e55f9c05afe5060cb30c59b5)
- Kaspersky : Trojan-Downloader.Win32.VB.afiz (VirusTotal : 16/43)
해당 프로그램은 [C:\Program Files\shipshape] 폴더에 주요 파일을 생성하며, Windows 시작시 shipshape.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
프로그램이 설치된 환경에서 외형적인 광고, 검색과 관련된 동작은 발견되지 않고 있지만, 차후 사용자가 인터넷을 이용하는 과정에서 추가적인 다운로드가 이루어질 수 있는 요소가 존재합니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
shipshaper.shipshape
- 게시자 : infog
- CLSID : {5E9EADCC-EF10-49BF-8A47-88DBCB1F8206}
- 파일 : C:\Program Files\shipshape\shipshape.dll
shipshaper.shipshape
- 게시자 : infog
- CLSID : {5E9EADCC-EF10-49BF-8A47-88DBCB1F8206}
- 파일 : C:\Program Files\shipshape\shipshape.dll
프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 shipshape.dll 파일을 추가하여 BHO 방식으로 동작하는 것을 확인할 수 있습니다.
해당 프로그램에서는 제어판의 [RICHCAT] 삭제 항목을 통해 삭제 기능을 제공하는 것처럼 구성되어 있지만, 실제 정상적인 프로그램 삭제가 이루어지지 않고 있으므로 수동으로 삭제를 하셔야 합니다.
프로그램 삭제시에는 반드시 Internet Explorer를 종료한 상태에서 폴더(파일), 레지스트리를 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\inetko.dll
- C:\WINDOWS\system32\MSINET.OCX
- C:\WINDOWS\system32\msvbvm60.dll
- C:\WINDOWS\system32\VB6KO.DLL
참고로 위의 파일은 정상적인 파일들로 타 프로그램에서 공유하여 사용할 수 있으므로 삭제를 하지 않으셔도 상관없습니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{5E9EADCC-EF10-49BF-8A47-88DBCB1F8206}
HKEY_CLASSES_ROOT\Interface\{FE19C5C3-0D7D-45C1-8DD4-A3A1834ED76A}
HKEY_CLASSES_ROOT\shipshaper.shipshape
HKEY_CLASSES_ROOT\TypeLib\{AFB3A74C-1477-462A-968C-8F7826B88F7A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5E9EADCC-EF10-49BF-8A47-88DBCB1F8206}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- shipshape = C:\Program Files\shipshape\shipshape.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shipshape
HKEY_LOCAL_MACHINE\SOFTWARE\shipshape
HKEY_CLASSES_ROOT\CLSID\{5E9EADCC-EF10-49BF-8A47-88DBCB1F8206}
HKEY_CLASSES_ROOT\Interface\{FE19C5C3-0D7D-45C1-8DD4-A3A1834ED76A}
HKEY_CLASSES_ROOT\shipshaper.shipshape
HKEY_CLASSES_ROOT\TypeLib\{AFB3A74C-1477-462A-968C-8F7826B88F7A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5E9EADCC-EF10-49BF-8A47-88DBCB1F8206}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- shipshape = C:\Program Files\shipshape\shipshape.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shipshape
HKEY_LOCAL_MACHINE\SOFTWARE\shipshape
해당 프로그램 시리즈는 계속적으로 다양한 이름으로 배포가 이루어지고 있으며 제휴(스폰서) 등의 프로그램을 설치하실 때 주의하시기 바랍니다.
728x90
반응형