본문 바로가기

벌새::Analysis

국내 악성코드 : favorshop + rbodtpidbsqtmh.dll

바탕 화면과 즐겨찾기 항목에 인터넷 쇼핑몰 바로가기 아이콘을 생성하면서 삭제 기능을 제공하지 않는 가칭 favorshop 광고 프로그램이 설치되는 과정에서 사용자 몰래 악성 서비스 등록 파일(rbodtpidbsqtmh.dll)을 추가하는 사례에 대해 살펴보도록 하겠습니다.

 

  국내 악성코드 : IFavorPop + vvxtklvbudjkkld.dll (2012.7.2)

 

참고로 해당 악성코드는 IFavorPop 검색 도우미 프로그램을 통해 추가되는 악성 서비스(vvxtklvbudjkkld.dll)와 연관성이 깊으므로 참고하시기 바랍니다.

  • h**p://*****.win-daim.com/favorshop_s10.exe (MD5 : 6d5c3fe100fefe42aa693a56dd77c8fd) - Hauri ViRobot : Adware.Agent.1731356 (VirusTotal : 10/42)

다른 유포 경로를 통해 다운로드된 설치 파일 내부에는 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 favorshop_s.exe (MD5 : fbd4b1064db9e556efde22008e714f28) 파일과 악성 서비스를 등록하는 rbodtpidbsqtmh.exe 파일이 포함되어 있습니다.

  • rbodtpidbsqtmh.exe (MD5 : 8fcba4b92492fe07efc81a654a81c630) - AhnLab V3 : ASD.Prevention (VirusTotal : 5/41)

설치 과정에서 사용자 몰래 악성 서비스를 설치하는 rbodtpidbsqtmh.exe 파일은 특정 서버에 설치 PC의 Mac Address 값 체크를 통해 카운터(Counter)를 확인하는 동작을 합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\bdfvbcfsdg :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\bdfvbcfsdg\favorshop_s.exe
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 새로운 세상을 여는 문, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵, 시즌 2.url
C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.URL
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.URL
C:\Program Files\rbodtpidbsqtmh
C:\Program Files\rbodtpidbsqtmh\rbodtpidbsqtmh.dll :: rbodtpidbsqtmh 서비스 등록 파일
C:\WINDOWS\11.ico
C:\WINDOWS\auction.ico
C:\WINDOWS\coopang_favi.ico
C:\WINDOWS\dnshop.ico
C:\WINDOWS\gmarket.ico
C:\WINDOWS\grou_favi.ico
C:\WINDOWS\timon_favi.ico
C:\WINDOWS\wemef_favi.ico

 

[생성 파일 진단 정보]

 

C:\Program Files\rbodtpidbsqtmh\rbodtpidbsqtmh.dll
 - MD5 : 9be1059ec471df9323c1cb93e8d88d27
 - BitDefender : Gen:Variant.Graftor.6690 (VirusTotal : 4/41)

 

해당 프로그램은 즐겨찾기와 바탕 화면에 다양한 인터넷 쇼핑몰 바로가기 아이콘을 생성하며, 추가적으로 사용자 몰래 "C:\Program Files\rbodtpidbsqtmh\rbodtpidbsqtmh.dll" 파일을 생성하여 악성 서비스(rbodtpidbsqtmh)로 등록합니다.

 

1. favorshop : 인터넷 쇼핑몰 바로가기 아이콘 

가칭 favorshop 광고 프로그램은 바탕 화면과 즐겨찾기 항목에 11번가, 옥션, G마켓을 비롯한 인터넷 쇼핑몰 바로가기 아이콘을 생성합니다. 

해당 바로가기 아이콘을 통해 인터넷 쇼핑몰에 접속하는 과정에서 특정 광고 코드(click.interich.com, ilikeclick.com)가 추가되는 것을 확인할 수 있습니다.

 

해당 프로그램은 삭제 기능을 제공하지 않는 관계로 설치된 PC 환경에서는 사용자가 수동으로 삭제하지 않을 경우 지속적인 수익 창출이 가능한 구조를 가지고 있으므로 다음의 절차에 따라 수동으로 삭제를 하시기 바랍니다.

 

(1) 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\bdfvbcfsdg
  • C:\Documents and Settings\(사용자 계정)\Application Data\bdfvbcfsdg\favorshop_s.exe
  • C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 새로운 세상을 여는 문, G마켓.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵, 시즌 2.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.url
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.URL
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.URL
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.URL
  • C:\WINDOWS\11.ico
  • C:\WINDOWS\auction.ico
  • C:\WINDOWS\coopang_favi.ico
  • C:\WINDOWS\dnshop.ico
  • C:\WINDOWS\gmarket.ico
  • C:\WINDOWS\grou_favi.ico
  • C:\WINDOWS\timon_favi.ico
  • C:\WINDOWS\wemef_favi.ico

(2) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.

  • HKEY_LOCAL_MACHINE\SOFTWARE\favorshop

2. rbodtpidbsqtmh 서비스 

사용자 몰래 등록된 "rbodtpidbsqtmh" 서비스는 시스템 시작시 svchost.exe 서비스 파일을 통해 자동으로 실행되도록 구성되어 있습니다. 

이를 통해 특정 서버로 연결을 시도하여 카운터(Counter) 체크 및 추가적인 업데이트를 통해 등록된 파일을 다운로드하여 자동으로 설치하는 동작이 이루어질 수 있습니다.

 

특히 이런 방식의 서비스는 백신 프로그램의 진단 여부에 따라 또 다른 다운로드 기능을 가진 악성 서비스 파일을 다운로드 및 설치하여 지속적으로 유포자가 원하는 시간에 추가적인 감염을 유발할 수 있는 PC 환경을 유지할 수 있습니다.

 

현재 설치된 악성 서비스를 제거하기 위해서는 다음의 절차에 따라 진행하시기 바랍니다.

 

(1) 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\rbodtpidbsqtmh
  • C:\Program Files\rbodtpidbsqtmh\rbodtpidbsqtmh.dll

(2) 실행창에 [sc delete "rbodtpidbsqtmh"] 명령어를 입력하여 서비스 등록값을 제거하시기 바랍니다. 

   Windows Sysinternals Autoruns 이용한 수상한 서비스 등록값을 찾는 방법 (2011.2.17)

 

참고로 이런 방식의 악성 서비스 등록값을 찾는 방법으로 Windows Sysinternals Autoruns 도구를 이용한 방법을 소개한 적이 있으므로 관련 내용을 참고하여 활용하시기 바랍니다.