본문 바로가기

벌새::Analysis

comres.dll, ws2sock.dll 파일을 이용한 온라인 게임 계정 수집 주의 (2011.9.5)

반응형
주말을 이용하여 국내 언론사 사이트를 중심으로 comres.dll 시스템 파일을 패치하는 방식으로 온라인 게임 계정 정보를 수집하는 악성코드 유포 행위가 확인되었습니다.


파일명 보안 제품 진단명
ad.htm Hauri ViRobot HTML.S.Iframe.701
z.html Hauri ViRobot HTML.S.Iframe.719
v.html Hauri ViRobot HTML.S.Iframe.4878
main.swf AhnLab V3 SWF/Cve-2011-2110
c.html Hauri ViRobot JS.S.ShellCode.2474.B
x.html Microsoft Exploit:JS/CVE-2010-0806.gen!A
x.js Hauri ViRobot JS.S.Agent.297

해당 악성코드 감염 방식은 Internet Explorer 웹 브라우저 취약점인 CVE-2010-0806 보안 패치와 CVE-2011-2110 취약점을 가지는 Adobe Flash Player 버전을 사용하는 인터넷 사용자가 해킹된 언론사 사이트를 방문할 경우 자동으로 감염될 수 있습니다.

최종적으로 다운로드되어 실행된 실행 파일(MD5 : e3b76f00e23a41d8127be1751fbaebbf)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 8/44) 진단명으로 진단하고 있습니다.

[생성(변경) 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\9fc3.tmp :: comres.dll 백업 파일(정상 파일)
※ 해당 파일은 (4자리 영문+숫자).tmp 형태입니다.

C:\WINDOWS\system32\comres.dll :: 변경 전 파일 크기 - 668,672 Bytes / 변경 후 파일 크기 - 670,208 Bytes
 - MD5 : 600fc8e8f5f6440962d17c50f21334cf
 - AhnLab V3 : Win-Trojan/Onlinegamehack.670208.B (VirusTotal : 2/44)

C:\WINDOWS\system32\ws2sock.dll
 - MD5 : 0CE6DBDBB946F69AE89DBD99FBBAA0C9
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 2/44)


감염된 PC는 comres.dll 시스템 파일을 패치하여 원본 파일은 사용자가 찾기 어려운 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(4자리 영문+숫자).tmp] 파일로 백업을 합니다.

패치되기 전의 comres.dll 파일과 비교를 해보면 추가적인 세션(section)이 등록되는 것을 확인할 수 있습니다.

참고로 일반 사용자의 경우 악성코드 감염으로 인한 문제가 발생할 경우 시스템 최적화 프로그램을 통해 느려진 PC 문제를 해결한다고 할 경우, comres.dll 시스템 파일 백업으로 생성된 "(4자리 영문+숫자).tmp" 파일이 최적화 과정에서 임시 파일로 분류되어 삭제가 될 수 있습니다. 그러므로 이런 부분에 있어서 임시 파일 삭제시 주의할 필요가 있을 것으로 판단됩니다.

특히 이번 사례의 경우에는 [C:\WINDOWS\system32\dllcache\comres.dll] 백업 파일을 건들지 않아서 문제가 없지만 만약 해당 파일까지 감염을 시킬 경우에는 백업 파일 확보에 어려움을 겪을 수 있습니다.

실제 comres.dll 기능은 백업된 "(4자리 영문+숫자).tmp" 파일이 다양한 프로세스가 추가되어 동작하는 것을 확인할 수 있습니다.

함께 생성된 ws2sock.dll 파일은 기존 방식과 마찬가지로 17.5MB 파일 크기를 가지는 비정상적인 파일로 심한 난독화가 이루어져 있으며, iexplore.exe 프로세스를 비롯한 다양한 온라인 게임 프로세스를 감시하여 계정 정보를 외부로 유출을 합니다.

예를 들어 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 comres.dll, ws2sock.dll 악성 파일을 추가하여 동작하는 것을 확인할 수 있습니다.

이를 통해 사용자가 한게임(Hangame) 사이트에 접속하여 로그인을 시도할 경우 미국(USA)에 위치한 98.126.208.58 서버로 아이디(ID), 비밀번호를 유출하는 동작을 확인할 수 있습니다.

해당 악성코드 감염으로 인한 수동 문제 해결 방법은 다음의 절차에 따르시기 바라며, 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.

1. C:\WINDOWS\system32\comres.dll 파일 확장자명을 변경합니다.(※ 예시 : comres.dll-)

comres.dll 파일 확장자명을 변경할 경우 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 comres.dll 파일이 복원되므로 반드시 복원 여부를 확인하시기 바랍니다.

2. C:\WINDOWS\system32\ws2sock.dll 파일을 삭제한 후 시스템 재부팅을 실행합니다.

3. 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(4자리 영문+숫자).tmp
  • C:\WINDOWS\system32\comres.dll-

참고로 "(4자리 영문+숫자).tmp" 파일 크기는 668,672 Bytes이며, 해당 파일은 정상이므로 삭제를 구지할 필요는 없습니다.

모든 절차 후에는 반드시 유명 보안 제품을 이용하여 정밀 검사를 하시기를 권장하며, 악성코드 감염이 실제 발생한 사용자는 Windows 보안 패치와 Adobe Flash Player 최신 버전을 체크하여 추가적인 설치를 하시기 바랍니다.

반응형