본문 바로가기

벌새::Analysis

국내 악성코드 : RichCat

반응형
국내에서 제작되어 검색 도우미로 소개되고 있는 RichCat 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : d34ac823eec38c568a6adc521df69946)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.VB (VirusTotal : 16/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
 

또한 해당 프로그램은 기존의 gSearch / InfoG 시리즈의 변종으로 추정되므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\shipshape\shipshape.dll :: BHO 등록 파일
C:\Program Files\shipshape\shipshape.exe :: 시작 프로그램 등록 파일
C:\Program Files\shipshape\shipshapeun.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\inetko.dll

C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\msvbvm60.dll
C:\WINDOWS\system32\shipmentsetup.exe
C:\WINDOWS\system32\VB6KO.DLL


[생성 파일 진단 정보]

C:\Program Files\shipshape\shipshapeun.exe (MD5 : 8554de2f90775fc7ac50b554fa94fc12)

 - AhnLab V3 : Malware/Win32.Generic (VirusTotal : 10/41)

C:\WINDOWS\system32\shipmentsetup.exe (MD5 : 3c7cdd62e55f9c05afe5060cb30c59b5)
 - Kaspersky : Trojan-Downloader.Win32.VB.afiz (VirusTotal : 16/43)


해당 프로그램은 [C:\Program Files\shipshape] 폴더에 주요 파일을 생성하며, Windows 시작시 shipshape.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 외형적인 광고, 검색과 관련된 동작은 발견되지 않고 있지만, 차후 사용자가 인터넷을 이용하는 과정에서 추가적인 다운로드가 이루어질 수 있는 요소가 존재합니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

shipshaper.shipshape
 - 게시자 : infog

 - CLSID : {5E9EADCC-EF10-49BF-8A47-88DBCB1F8206}
 - 파일 : C:\Program Files\shipshape\shipshape.dll

프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 shipshape.dll 파일을 추가하여 BHO 방식으로 동작하는 것을 확인할 수 있습니다.

해당 프로그램에서는 제어판의 [RICHCAT] 삭제 항목을 통해 삭제 기능을 제공하는 것처럼 구성되어 있지만, 실제 정상적인 프로그램 삭제가 이루어지지 않고 있으므로 수동으로 삭제를 하셔야 합니다.

프로그램 삭제시에는 반드시 Internet Explorer를 종료한 상태에서 폴더(파일), 레지스트리를 수동으로 삭제하시기 바랍니다.

 

  • C:\WINDOWS\system32\inetko.dll
  • C:\WINDOWS\system32\MSINET.OCX
  • C:\WINDOWS\system32\msvbvm60.dll
  • C:\WINDOWS\system32\VB6KO.DLL

참고로 위의 파일은 정상적인 파일들로 타 프로그램에서 공유하여 사용할 수 있으므로 삭제를 하지 않으셔도 상관없습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{5E9EADCC-EF10-49BF-8A47-88DBCB1F8206}

HKEY_CLASSES_ROOT\Interface\{FE19C5C3-0D7D-45C1-8DD4-A3A1834ED76A}
HKEY_CLASSES_ROOT\shipshaper.shipshape
HKEY_CLASSES_ROOT\TypeLib\{AFB3A74C-1477-462A-968C-8F7826B88F7A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5E9EADCC-EF10-49BF-8A47-88DBCB1F8206}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - shipshape = C:\Program Files\shipshape\shipshape.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shipshape

HKEY_LOCAL_MACHINE\SOFTWARE\shipshape

 

해당 프로그램 시리즈는 계속적으로 다양한 이름으로 배포가 이루어지고 있으며 제휴(스폰서) 등의 프로그램을 설치하실 때 주의하시기 바랍니다.

728x90
반응형
  • 좋은정보 잘봤습니다

  • sha~ 2011.02.24 23:45 댓글주소 수정/삭제 댓글쓰기

    항상 좋은 정보 감사합니다.
    이젠 하루라도 안들리면 궁금하다능...ㅎ

  • 김수현 2011.03.20 16:57 댓글주소 수정/삭제 댓글쓰기

    이글 보고 깜짝 놀라서 삭제하려고 했는데..ㅠㅠ컴맹이라 그런지 이해가 잘 안되네요...
    SHIPSHAPE폴더와 레지스트리를 삭제하라고 하셨는데... 그것만 삭제하면 RICHCAT삭제 가능한가요?ㅠㅠ
    또 폴더를 삭제했는데 .EXE는 삭제가 되는데 .DLL은 삭제가 안되네요ㅠㅠ어떻게 하면 될까요?ㅠㅠ

    • dll 파일이 삭제되지 않는 문제가 사용자가 해당 폴더(파일)을 삭제하실 때 인터넷 웹 브라우저를 열어둔 상태로 삭제를 했기 때문으로 추정됩니다.

      파일을 삭제하실 때에는 모든 프로그램을 종료하시고 삭제를 하시기 바랍니다.

      이유는 해당 dll 파일은 웹 브라우저와 함께 동작하기 때문입니다.