본문 바로가기

벌새::Analysis

온라인 결제 대행 사이트 계정 정보 수집 악성코드 유포 주의 (2011.8.18)

저번 주말을 이용하여 해킹된 인터넷 사이트를 통한 악성코드 유포 중 국내 특정 온라인 음악 사이트 업데이트 서버 변조를 통한 악성코드에 감염되는 사례에 대해 살펴보도록 하겠습니다.
 

해당 악성코드 감염은 기존과 마찬가지로 Internet Explorer 웹 브라우저 취약점 CVE-2010-0806과 Adobe Flash Player 취약점 CVE-2011-2110을 이용한 악성 스크립트가 동원되었습니다.

 

 

 

파일명 보안 제품 진단명
q.html ALYac 2.0 Exploit.JS.Iframe.G
f.html ALYac 2.0 Exploit.JS.Mult.Swf.I
main.swf ALYac 2.0 Exploit.SWF.ShellCode.Gen
e.html nProtect Script-JS/W32.Agent.CPW
w.html AhnLab V3 JS/Agent


취약점을 가진 PC 사용자가 온라인 음악 플레이어 업데이트 또는 사이트 접속 등의 환경을 통해 감염이 이루어진 경우 최종 실행 파일(MD5 : d6b520ca2b8fb357e5e34667ad94ca6c)에 대하여 알약(ALYac) 2.0 보안 제품에서는 Trojan.Downloader.OnlineGames.gen (VirusTotal : 36/43) 진단명으로 진단되고 있습니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Download = 최종 실행 파일 다운로드 경로
※ 해당 파일은 숨김(H), 시스템(S) 속성입니다.


해당 실행 파일은 자신을 시작 프로그램으로 등록하여 시스템 시작시마다 자동 실행되어 다음과 같은 파일을 다운로드를 하도록 구성되어 있습니다.

 

  • h**p://***.8866wg.com:8181/**/wy.exe
  • h**p://***.8866wg.com:8181/**/dnf.exe
  • h**p://***.8866wg.com:8181/**/lq.exe
  • h**p://***.8866wg.com:8181/**/tt.exe :: 현재 다운로드 불가
  • h**p://***.8866wg.com:8181/**/mxd.exe
  • h**p://***.8866wg.com:8080/tj/Count.asp?mac=(사용자 Mac Address)

    ※ tt.exe(MD5 : 6d6b92d571765fa378bf6f5f97dca35d) 파일은 다운로드 당시 안철수연구소(AhnLab) V3 보안 제품에서 Trojan/Win32.QQPass (VirusTotal : 20/43) 진단명으로 진단되었습니다.
[생성 폴더, 파일 및 진단 정보]

C:\lq :: 숨김(H), 시스템(S) 속성

C:\lq\svohcst.exe (= lq.exe)
 - MD5 : 4f22c31fa2a6a2dd40632ef390a7dca8
 - AhnLab V3 : Win-Trojan/Onlinegamehack.18944.PL (VirusTotal : 33/43)
※ 해당 파일은 마비노기(Mabinogi) 계정 탈취 목적입니다.

C:\svohcst.exe (= dnf.exe / mxd.exe)
 - MD5 : 012929ae9e9b2aec695003dd3e350858
 - AntiVir : TR/Crypt.XPACK.Gen
※ 해당 파일은 피망(PMang), 한게임(HanGame) 계정 탈취 목적입니다.

C:\wy :: 숨김(H), 시스템(S) 속성

C:\wy\svohcst.exe (= wy.exe)
 - MD5 : 983e6d76e25808b8e664a703040aaae3
 - AhnLab V3 : Win-Trojan/Onlinegamehack99.Gen (VirusTotal : 14/43)
※ 해당 파일은 에그머니(EggMoney), 컬쳐랜드(CultureLand), 한게임(HanGame) 계정 탈취 목적입니다.

C:\wy\svohost.exe
 - MD5 : e6184f317e6052d14c1298750d0a1ea4
 - BitDefender : Gen:Trojan.Heur.DP.amGfa8PGI5o
※ 해당 파일은 한게임(HanGame) 계정 탈취 목적입니다.

 

생성된 파일은 정상적인 svchost.exe(C:\WINDOWS\system32\svchost.exe) 파일과 혼동을 유발하는 파일명으로 구성되어 있으며, 숨김(H), 시스템(S) 속성을 가진 폴더로 인하여 Windows 기본값으로는 확인되지 않고 있습니다.

 

 

감염된 시스템의 프로세스 정보를 살펴보면 그림과 같이 svohcst.exe, svohost.exe 프로세스가 메모리에 상주하여 온라인 게임, 문화 상품권, 온라인 결제 대행 사이트 등에 접속하여 로그인을 시도할 경우 계정 정보를 외부로 유출하도록 되어 있습니다.

 

 

실제로 온라인 결제 대행 사이트 에그머니(EggMoney) 사이트에서 로그인을 시도할 경우 미국(USA)에 위치한 98.126.228.122 서버로 계정 정보가 전송되는 것을 확인할 수 있습니다.

그 외에도 문화 상품권 사이트로 알려진 컬쳐랜드(CultureLand)의 계정 정보도 수집되는 등 금전과 연관된 사이트 계정 탈취 목적이 강한 것을 확인할 수 있습니다.

 

 

보안 제품을 이용한 확인이 아닌 수동으로 감염 여부를 확인하기 위해서는 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목 체크 해제, [숨김 파일 및 폴더 표시] 항목 체크를 통해 윈도우 탐색기에서 숨어 있는 파일을 확인할 수 있습니다.

수동으로 문제 해결을 위해서는 ① Process Explorer 프로그램을 이용하여 svohcst.exe(C:\svohcst.exe), svohcst.exe(C:\wy\svohcst.exe) 프로세스 종료 ② 생성 파일 삭제 ③ 시작 프로그램 등록 생성 레지스트리 삭제를 하시기 바랍니다. 

이런 류의 악성코드에 감염된 사용자는 온라인 게임 계정 비밀번호만 변경할 것이 아니라, 금전과 연관된 사이트 계정도 외부로 유출될 수 있으므로 함께 변경을 하시기 바라며 동일한 계정 정보로 다수의 사이트에 가입하는 일이 없도록 하시기 바랍니다.

  • 어렵네요?;; 2011.08.19 00:20 댓글주소 수정/삭제 댓글쓰기

    주로 svchost.exe 파일 명을 변경하여 바이러스 유포 등을 하는 것 같은데, svchost.exe가 바이러스에 감염되기 쉬워서 많은 해커?들이 그렇게 사용하는 것인가요? 아니면 그냥 svchost.exe파일명을변경하는 것인가요?
    svchost.exe가 주로 바이러스에 대해 언급될 때 나와서 궁금하네요.. 답변해주시면 감사하겠습니다.

    • svchost.exe 파일을 변경해서 유포하지는 않습니다.

      해당 파일은 다양한 내외부 dll 파일 등 서비스로 등록되는 값들을 동작시켜주는 역할을 하므로 동일한 파일이 등록된 서비스에 따라 다수의 svchost.exe 프로세스가 생성되는 것입니다.

      이번 경우에는 유사한 이름의 다른 위치에 존재하는 파일을 통해 사용자 눈을 속이는 것이지요.

  • 어렵네요?;; 2011.08.19 00:33 댓글주소 수정/삭제 댓글쓰기

    아, 답변 감사합니다.
    그러면 지금 껏 봐온 scvhost.exe , svohest.exe , svohst.exe , svhcost.exe 등은 눈속임용 바이러스? 파일이였군요...

  • 대민 2011.11.09 13:30 댓글주소 수정/삭제 댓글쓰기

    앗 좋은 정보 감사드립니다..

    컴퓨터 다시 셋업 안하길 잘했네요^^

  • 저도 모르게 바이러스게 감염되었더군요. 그 후로 컴퓨터 부팅이 심하게 느려졌습니다.
    SSD를 운영체제 OS로 사용하고 있었는데 40초만에 부팅되던게 5분 이상 지연됩니다. ㅠ_ㅠ;;;
    바이러스 영향 맞을까요.;;
    V3 lite로 치료해도 안되길래 다시 알약을 이용해 바이러스를 치료했는데도 그러네요;;

    • 윈도우, Adobe Flash Player, Oracle JRE 보안 패치만 모두 해도 이런 악성코드는 감염되고 싶어도 안됩니다.

      보안 패치를 꼭 하시기 바랍니다.