울지않는벌새 : Security, Movie & Society

[삭제] Rundownplay

벌새::Analysis

특정 인터넷 쇼핑몰 접속시 광고 코드가 추가된 광고창을 생성하며, 제어판을 통한 삭제 기능을 제공하지 않는 검색 도우미 "Rundownplay" 프로그램(MD5 : bcffabba76aeaf9af812da71ef042e2a)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Windows nuriweb (2011.12.17)

 

  검색 도우미 : Windows infoaux (2012.3.10)

 

  검색 도우미 : Windows Sidematch System (2012.3.13)

 

  국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (2012.4.4)

 

  검색 도우미 : Windows best5info (2012.4.12)

 

  검색 도우미 : Window naverdown (2012.5.12)

 

  [삭제] MicrosoftToppoint (2012.5.22)

 

  자신을 삭제하는 1회용 광고 프로그램 "Windows SideGo" (2012.6.1)

 

  [삭제] WindowEngine (2012.7.17)

 

  [삭제] MicrosoftAPI (2012.10.5)

 

  검색 도우미 : Windows Plus (2012.12.11)

 

해당 프로그램과 유사성이 강한 다양한 검색 도우미 프로그램을 배포하고 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\ProgramData\Microsoft\rundownplay
C:\ProgramData\Microsoft\rundownplay\data.db
C:\ProgramData\Microsoft\rundownplay\img
C:\ProgramData\Microsoft\rundownplay\img\11st.ico
C:\ProgramData\Microsoft\rundownplay\img\Auction.ico
C:\ProgramData\Microsoft\rundownplay\img\Gmarket.ico
C:\ProgramData\Microsoft\rundownplay\rdclear.exe
C:\ProgramData\Microsoft\rundownplay\rundownplay.dat
C:\ProgramData\Microsoft\rundownplay\rundownplay.exe
C:\ProgramData\Microsoft\rundownplay\rundownplay9.dll :: BHO(rundownplay Class) 등록 파일
C:\ProgramData\Microsoft\rundownplay\sqlite3.dll
C:\ProgramData\Microsoft\rundownplay\unins000.dat
C:\ProgramData\Microsoft\rundownplay\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\Desktop\11번가 이동.URL
C:\Users\(사용자 계정)\Desktop\G마켓 이동.URL
C:\Users\(사용자 계정)\Desktop\옥션 이동.URL
C:\Users\(사용자 계정)\Favorites\11번가 이동.URL
C:\Users\(사용자 계정)\Favorites\G마켓 이동.URL
C:\Users\(사용자 계정)\Favorites\옥션 이동.URL
C:\Windows\System32\rdplay.exe :: 서비스(Windows Runplay) 등록 파일 / 메모리 상주 프로세스

 

※ rundownplay9.dll 파일명은 프로그램 버전에 따라 rundownplay(숫자).dll로 등록될 수 있습니다.

 

[생성 파일 진단 정보]

 

C:\ProgramData\Microsoft\rundownplay\rundownplay.exe
 - MD5 : 148ef01726f8ae4dc3203510945e68f7
 - AhnLab V3 : PUP/Win32.WindowsLiveProtect (VirusTotal : 6/46)

 

C:\ProgramData\Microsoft\rundownplay\rundownplay9.dll
 - MD5 : 40c7a63b3a2514e67403086dfeb211ce
 - AhnLab V3 : PUP/Win32.RDplay (VirusTotal : 4/46)

 

C:\Windows\System32\rdplay.exe
 - MD5 : b35869d3542611c7c554caa9e79f4823
 - AhnLab V3 : Win-PUP/Helper.RDplay.658408 (VirusTotal : 10/46)

 

해당 프로그램은 사용자가 확인하기 어려운 마이크로소프트(Microsoft) 관련 폴더 내의 "C:\ProgramData\Microsoft\rundownplay" 폴더에 파일을 생성하여, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\rundownplay\rundownplay.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

하지만 시작 프로그램 등록 파일(C:\Users\(사용자 계정)\AppData\Local\rundownplay\rundownplay.exe)은 존재하지 않는 것을 확인할 수 있습니다.

대신 "wrdplay(Windows Runplay)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\System32\rdplay.exe" 파일을 자동으로 실행하며, 실행된 서비스 파일은 "C:\ProgramData\Microsoft\rundownplay\rundownplay.exe" 파일을 로딩하여 업데이트 체크를 하도록 구성되어 있습니다.

참고로 실행되는 rdclear.exe 파일 속성값을 확인해보면 원본 파일 이름이 "tu_rt.exe" 파일로 등록되어 있으며, "Gongkam" 디지털 서명이 포함되어 있습니다.

프로그램이 설치된 환경에서는 "11번가 이동, G마켓 이동, 옥션 이동" 바로가기 아이콘을 즐겨찾기, 명령 모음, 바탕 화면에 등록하며, 해당 바로가기 아이콘을 클릭하여 인터넷 쇼핑몰 접속시 특정 광고 코드(cl.ilikeclick.com)가 추가됩니다.

또한 다양한 인터넷 쇼핑몰 관련 웹 사이트 접속시 광고 코드를 추가하도록 제작되어 있는 것을 확인할 수 있습니다.

실제 광고 동작을 확인해보면 사용자가 프로그램에 지정된 인터넷 쇼핑몰에 접속하는 과정에서 동일한 웹 사이트가 추가로 생성되는 동작을 확인할 수 있습니다.

추가로 생성된 인터넷 쇼핑몰 접속 과정에서는 광고 코드(cl.ilikeclick.com) 추가 행위를 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : rundownplay Class

게시자 : Gongkam

유형 : 브라우저 도우미 개체

CLSID : {9764F9EC-2226-45FB-9598-7A918ADBAAA0}

파일 : C:\ProgramData\Microsoft\rundownplay\rundownplay9.dll

 

이름 : G마켓 이동

유형 : 브라우저 확장

CLSID : {000000A1-CA93-46BB-9D4A-DBD498CB8944}

 

이름 : 옥션 이동

유형 : 브라우저 확장

CLSID : {000000A2-F93E-4C0B-87D5-490AEF45ADD3}

 

이름 : 11번가 이동

유형 : 브라우저 확장

CLSID : {000000A3-57A6-49EA-B96B-1428070E5924}

 

해당 프로그램은 rundownplay9.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 특정 인터넷 쇼핑몰 접속시 광고창 생성을 통한 광고 코드를 추가하며, 명령 모음에 11번가, G마켓, 옥션 바로가기 아이콘을 브라우저 확장으로 등록하고 있습니다.

 

그러므로 광고 동작 중지 및 명령 모음에 등록된 바로가기 아이콘을 표시하지 않도록 하기 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "rundownplay Class", "G마켓 이동", "옥션 이동", "11번가 이동" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

Rundownplay 검색 도우미 프로그램은 제어판을 통한 삭제 기능을 제공하지 않으므로 다음과 같은 절차에 따라 프로그램을 삭제하시기 바랍니다.

 

(1) Internet Explorer 웹 브라우저를 종료한 상태에서 Windows 작업 관리자를 실행하여 "프로세스" 탭을 선택하여 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후, rdplay.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

(2) Windows 탐색기를 실행하여 "C:\ProgramData\Microsoft\rundownplay\unins000.exe" 파일을 찾아 직접 실행하여 Rundownplay 프로그램을 제거하시기 바랍니다.

참고로 "C:\ProgramData" 폴더는 숨김(H) 속성 값을 가지고 있으므로, 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 하시고 찾으시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AppDataLow\rundownplay
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A1-CA93-46BB-9D4A-DBD498CB8944}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A2-F93E-4C0B-87D5-490AEF45ADD3}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A3-57A6-49EA-B96B-1428070E5924}
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
 - rdInst = 1
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\rundownplay
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9764F9EC-2226-45FB-9598-7A918ADBAAA0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{97727A1A-ABB2-342A-BAEE-A6D1B7BE61CB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\rundownplay.WinbioTools
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{970E4DCE-AFAD-35E8-5193-74950AFEEA4C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{9764F9EC-2226-45FB-9598-7A918ADBAAA0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - rundownplay = C:\Users\(사용자 계정)\AppData\Local\rundownplay\rundownplay.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wrdplay

 

해당 프로그램은 마이크로소프트(Microsoft) 관련 폴더 내에 존재하여 정상적인 프로그램처럼 사용자 눈을 속이고 있으며, 삭제 파일은 제공하지만 제어판을 통한 삭제 기능을 제공하지 않아 지속적인 금전적 수익을 창출할 수 있으므로 주의하시기 바랍니다.