국내 온라인 게임 사용자의 계정 정보를 표적으로하는 온라인 게임핵(OnlineGameHack) 악성코드 유포가 백신 프로그램의 진단 정책을 이용하여 배포하는 사례가 최근 지속적으로 발견되고 있습니다.
예를 들어 국내에서 제작된 검색 도우미, 유해 차단 프로그램, 코덱(Codec) 등 광고성 프로그램은 백신 프로그램에서 PUP(Potentially Unwanted Program) 진단으로 인하여 개인 사용자의 경우 진단이 되지 않는 경우가 많습니다.
이를 악용하여 공격자는 해당 PUP 프로그램의 업데이트 서버를 해킹하여 악성코드를 유포하며, 백신 프로그램에서는 법적인 문제로 초기 진단에 구멍이 발생할 수 있으리라 판단됩니다.
이번 글에서는 주말을 이용하여 국내에서 제작된 유해 차단 프로그램(****per)의 업데이트 기능을 통해 감염을 유발하는 사례를 확인해 보겠습니다.(※ 해당 프로그램은 회원 가입을 통한 유해 차단 기능과 함께 회원 가입 여부와 상관없이 인터넷 검색시 광고가 노출되는 프로그램입니다.)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- ****per = C:\Program Files\****per\NKUpdate.exe
문제의 ****per 유해 차단 프로그램을 설치하면 NKUpdate.exe 파일을 시작 프로그램으로 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.
참고로 NKUpdate.exe (MD5 : 34a85bff321d6466fd2416b2d5dbbd04) 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Spreader (VirusTotal : 1/42) 진단명으로 진단되고 있습니다.
이를 통해 제작사 몰래 등록한 usp10.dll 악성 파일을 업데이트 과정에서 몰래 설치하는 동작을 확인할 수 있습니다.
- h**p://down.****per.co.kr/****perupdate/usp10.dll (MD5 : e25366989bc63441a56f6c3b3789d432) - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 3/42)
실제 usp10.dll 악성 파일을 다운로드하는 모습을 확인해보면 해킹된 유해 차단 프로그램 업데이트 서버에서 받아오는 것을 확인할 수 있습니다.
이를 통해 "C:\Program Files\****per\usp10.dll" 파일로 등록된 악성 파일은 다음과 같은 동작을 통해 악성 파일 생성 및 추가적인 다운로드를 진행하도록 제작되어 있습니다.(※ 해당 usp10.dll 파일은 시스템 재부팅 과정에서 자동으로 삭제 처리되어 어떤 프로그램을 통해 설치되었는지 알 수 없도록 하고 있습니다.)
usp10.dll 악성 파일은 "C:\WINDOWS\calc1.exe" 파일(MD5 : ff011ae860f2a67c724555550507e8d9))을 생성하여 자신을 "C:\WINDOWS\system32\V3Medic.exe" 파일로 복제한 후 자가 삭제 처리되도록 구성되어 있습니다.
참고로 calc1.exe(= V3Medic.exe) 파일에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 5/40) 진단명으로 진단되고 있습니다.
- h**p://www.***news.co.kr/blog/upload/cmb.gif (MD5 : 68a3cf53385ffae0f71ea323665b3001) - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 15/42)
생성된 V3Medic.exe 파일은 국내 특정 언론 웹 사이트에 등록된 cmb.gif 악성 파일을 추가로 다운로드하여 백신 무력화 및 ws2help.dll (Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하는 악의적 동작을 수행합니다.
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\A1D25.exe
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\1.exe
참고로 다운로드된 cmb.gif 파일은 임시 폴더에 2개의 파일을 생성하여 AVKiller 기능을 수행하는 드라이버 파일 생성 및 ws2help.dll 패치를 합니다.
C:\Program Files\****per\usp10.dll
- MD5 : e25366989bc63441a56f6c3b3789d432)
- AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 3/42)
※ 해당 파일은 시스템 재부팅시 자가 삭제됩니다.
C:\WINDOWS\system32\drivers\kfuck3.sys
- MD5 : 104372d86168f2ce9ce0807da9fbbf09
- Dr.Web : Trojan.NtRootKit.14368 (VirusTotal : 1/41)
C:\WINDOWS\system32\V3Medic.exe :: 시작 프로그램 등록 파일
- MD5 : ff011ae860f2a67c724555550507e8d9
- AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 5/40)
※ 해당 파일의 MD5 값은 랜덤(Random)합니다.
C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기(19,968 Bytes) / 변경 후 파일 크기(94,208 Bytes)
- MD5 : 24163151effc28e2466dca8a08757282
- AhnLab V3 : Win-Trojan/Onlinegamehack135.Gen (VirusTotal : 26/42)
C:\WINDOWS\system32\ws2help.dll.xfq.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.
C:\WINDOWS\system32\ws2helpXP.dll :: ws2help.dll 기능 수행(정상 파일)
1. "C:\WINDOWS\system32\V3Medic.exe" 악성 파일
랜덤(Random)값으로 생성된 V3Medic.exe 악성 파일은 온라인 게임핵(OnlineGameHack) 드랍퍼 기능과 함께 시스템 시작시마다 네이버(Naver) 서버에 쿼리 전송을 통한 인터넷 연결 체크와 중국(China)에 등록된 특정 블로그(blog.sina.com.cn)와 연결하여 카운터(Counter) 체크를 하는 것으로 보입니다.
2. "C:\WINDOWS\system32\drivers\kfuck3.sys" 악성 파일
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AGONY
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony
kfuck3.sys 드라이버 파일은 감염시 AhnLab V3, 알약(ALYac) 등의 특정 백신 프로그램이 존재할 경우 무력화를 통해 진단을 방해하며, 자신의 파일 용량을 80MB 수준까지 올려서 수집 및 진단을 우회하고 있습니다.
3. "C:\WINDOWS\system32\ws2help.dll" 악성 파일
정상적인 ws2help.dll 시스템 파일을 패치한 경우 사용자가 Internet Explorer 웹 브라우저 및 특정 온라인 게임을 실행한 경우 ws2help.dll 악성 파일을 삽입하여 계정 정보(ID, 비밀번호, OTP 등)을 수집하는 기능을 수행합니다.
- ns.plaync.com
- hangame.com
- netmarble.net
- pmang.com
- df.nexon.com
또한 안랩 사이트가드(AhnLab SiteGuard), 바이러스 체이서(Virus Chaser), 네이버 백신(Naver Vaccine), AhnLab V3, 알약(ALYac)과 같은 백신 프로그램의 기능을 방해하는 동작을 할 수 있습니다.
실제 감염된 환경에서 한게임(HanGame)에 접속을 시도할 경우 미국(USA)에 위치한 aisuxa1.us (98.126.195.60) 서버로 정보를 전송하는 동작을 확인할 수 있었습니다.
해당 악성코드 감염으로 인하여 백신 프로그램을 통한 치료에 어려움이 예상되는 사용자는 다음과 같은 절차에 따라 수동으로 해결하시기 바랍니다.
(1) 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\drivers\kfuck3.sys
- C:\WINDOWS\system32\V3Medic.exe
(2) "C:\WINDOWS\system32\ws2help.dll" 파일의 확장자명을 변경하시기 바랍니다.(※ 예 : ws2help.dll-Malware)
ws2help.dll 악성 파일의 확장자명을 변경한 경우 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 ws2help.dll 시스템 파일이 생성되므로 반드시 생성 후에 윈도우 재부팅을 진행하시기 바랍니다.
(3) 해당 악성코드를 다운로드한 유해 차단 프로그램(****ker)을 찾아 제어판에서 삭제를 해야하며, 게시글에서는 법적인 문제로 프로그램 이름을 밝힐 수 없으므로 사용자가 반드시 찾아서 삭제해야 합니다.(※ 그 외에도 검색 도우미, 코덱 프로그램 등 다양한 수익성 프로그램을 통해서도 감염될 수 있으므로 신뢰할 수 없는 광고성 프로그램은 삭제를 권장합니다.)
그러지 않을 경우 시스템 재부팅 과정에서 유해 차단 프로그램의 업데이트 기능을 통해 재감염의 위험성이 존재합니다.
(4) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 수정 및 삭제하시기 바랍니다.
- stubpath = %SystemRoot%\system32\V3Medic.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- AppInit_DLLs = (공란) :: 변경 전
- AppInit_DLLs = ws2help.dll :: 변경 후
※ "변경 후" 값은 "변경 전" 값으로 수정하시기 바라며 삭제하지 마시기 바랍니다.
(5) 시스템 재부팅 이후에는 다음의 파일을 찾아서 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\ws2help.dll-Malware
- C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp :: 정상 파일
- C:\WINDOWS\system32\ws2helpXP.dll :: 정상 파일
모든 조치가 완료된 후에는 국내외 유명 백신 프로그램을 이용한 정밀 검사를 반드시 추가적으로 진행하시기 바랍니다.
이번 유포 사례에서와 같이 국내 광고성 프로그램의 경우 백신 프로그램에서 PUP 진단을 하지만, 실제 국내에서 제작된 개인 사용자용 백신 프로그램(AhnLab V3, 알약(ALYac))에서는 법적인 문제로 PUP 진단이 제대로 이루어지지 않는 실정입니다.(※ 보안 업체의 진단 정책에 따라 매우 다를 수 있습니다.)
이에 따라 공격자는 이런 점을 염두에 두고 광고성 프로그램의 업데이트 서버를 장악하여 특정 시점에서 악성 파일을 유포하는 경우가 있으므로 원치 않는 광고 프로그램이 PC에 설치되는 일이 없도록 각별히 주의하시기 바랍니다.