저번 주말을 이용하여 해킹된 인터넷 사이트를 통한 악성코드 유포 중 국내 특정 온라인 음악 사이트 업데이트 서버 변조를 통한 악성코드에 감염되는 사례에 대해 살펴보도록 하겠습니다.

해당 악성코드 감염은 기존과 마찬가지로 Internet Explorer 웹 브라우저 취약점 CVE-2010-0806과 Adobe Flash Player 취약점 CVE-2011-2110을 이용한 악성 스크립트가 동원되었습니다.


파일명 보안 제품 진단명
q.html ALYac 2.0 Exploit.JS.Iframe.G
f.html ALYac 2.0 Exploit.JS.Mult.Swf.I
main.swf ALYac 2.0 Exploit.SWF.ShellCode.Gen
e.html nProtect Script-JS/W32.Agent.CPW
w.html AhnLab V3 JS/Agent

취약점을 가진 PC 사용자가 온라인 음악 플레이어 업데이트 또는 사이트 접속 등의 환경을 통해 감염이 이루어진 경우 최종 실행 파일(MD5 : d6b520ca2b8fb357e5e34667ad94ca6c)에 대하여 알약(ALYac) 2.0 보안 제품에서는 Trojan.Downloader.OnlineGames.gen (VirusTotal : 36/43) 진단명으로 진단되고 있습니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Download = 최종 실행 파일 다운로드 경로
※ 해당 파일은 숨김(H), 시스템(S) 속성입니다.

해당 실행 파일은 자신을 시작 프로그램으로 등록하여 시스템 시작시마다 자동 실행되어 다음과 같은 파일을 다운로드를 하도록 구성되어 있습니다.
  • h**p://***.8866wg.com:8181/**/wy.exe
  • h**p://***.8866wg.com:8181/**/dnf.exe
  • h**p://***.8866wg.com:8181/**/lq.exe
  • h**p://***.8866wg.com:8181/**/tt.exe :: 현재 다운로드 불가
  • h**p://***.8866wg.com:8181/**/mxd.exe
  • h**p://***.8866wg.com:8080/tj/Count.asp?mac=(사용자 Mac Address)

    ※ tt.exe(MD5 : 6d6b92d571765fa378bf6f5f97dca35d) 파일은 다운로드 당시 안철수연구소(AhnLab) V3 보안 제품에서 Trojan/Win32.QQPass (VirusTotal : 20/43) 진단명으로 진단되었습니다.
[생성 폴더, 파일 및 진단 정보]

C:\lq :: 숨김(H), 시스템(S) 속성

C:\lq\svohcst.exe (= lq.exe)
 - MD5 : 4f22c31fa2a6a2dd40632ef390a7dca8
 - AhnLab V3 : Win-Trojan/Onlinegamehack.18944.PL (VirusTotal : 33/43)
※ 해당 파일은 마비노기(Mabinogi) 계정 탈취 목적입니다.

C:\svohcst.exe (= dnf.exe / mxd.exe)
 - MD5 : 012929ae9e9b2aec695003dd3e350858
 - AntiVir : TR/Crypt.XPACK.Gen
※ 해당 파일은 피망(PMang), 한게임(HanGame) 계정 탈취 목적입니다.

C:\wy :: 숨김(H), 시스템(S) 속성

C:\wy\svohcst.exe (= wy.exe)
 - MD5 : 983e6d76e25808b8e664a703040aaae3
 - AhnLab V3 : Win-Trojan/Onlinegamehack99.Gen (VirusTotal : 14/43)
※ 해당 파일은 에그머니(EggMoney), 컬쳐랜드(CultureLand), 한게임(HanGame) 계정 탈취 목적입니다.

C:\wy\svohost.exe
 - MD5 : e6184f317e6052d14c1298750d0a1ea4
 - BitDefender : Gen:Trojan.Heur.DP.amGfa8PGI5o
※ 해당 파일은 한게임(HanGame) 계정 탈취 목적입니다.


생성된 파일은 정상적인 svchost.exe(C:\WINDOWS\system32\svchost.exe) 파일과 혼동을 유발하는 파일명으로 구성되어 있으며, 숨김(H), 시스템(S) 속성을 가진 폴더로 인하여 Windows 기본값으로는 확인되지 않고 있습니다.

감염된 시스템의 프로세스 정보를 살펴보면 그림과 같이 svohcst.exe, svohost.exe 프로세스가 메모리에 상주하여 온라인 게임, 문화 상품권, 온라인 결제 대행 사이트 등에 접속하여 로그인을 시도할 경우 계정 정보를 외부로 유출하도록 되어 있습니다.

실제로 온라인 결제 대행 사이트 에그머니(EggMoney) 사이트에서 로그인을 시도할 경우 미국(USA)에 위치한 98.126.228.122 서버로 계정 정보가 전송되는 것을 확인할 수 있습니다.

그 외에도 문화 상품권 사이트로 알려진 컬쳐랜드(CultureLand)의 계정 정보도 수집되는 등 금전과 연관된 사이트 계정 탈취 목적이 강한 것을 확인할 수 있습니다.

보안 제품을 이용한 확인이 아닌 수동으로 감염 여부를 확인하기 위해서는 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목 체크 해제, [숨김 파일 및 폴더 표시] 항목 체크를 통해 윈도우 탐색기에서 숨어 있는 파일을 확인할 수 있습니다.

수동으로 문제 해결을 위해서는 ① Process Explorer 프로그램을 이용하여 svohcst.exe(C:\svohcst.exe), svohcst.exe(C:\wy\svohcst.exe) 프로세스 종료 ② 생성 파일 삭제 ③ 시작 프로그램 등록 생성 레지스트리 삭제를 하시기 바랍니다. 

이런 류의 악성코드에 감염된 사용자는 온라인 게임 계정 비밀번호만 변경할 것이 아니라, 금전과 연관된 사이트 계정도 외부로 유출될 수 있으므로 함께 변경을 하시기 바라며 동일한 계정 정보로 다수의 사이트에 가입하는 일이 없도록 하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..