C:\Program Files\yong. 폴더를 이용한 온라인 게임 계정 수집 주의 (2011.9.13)

추석 명절을 포함한 연휴 기간 동안 매주 주말을 이용하여 유포되는 온라인 게임 계정 정보 수집을 목적으로 하는 악성코드가 새로운 방식을 통해 보안 제품의 치료를 방해하는 동작을 확인하였습니다.

이번에 소개해드리는 악성코드는 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하는 동작과 함께, Windows 탐색기 및 보안 제품을 이용하여 삭제가 되지 않는 [C:\Program Files\yong.] 폴더 내부에 yong.exe 파일을 추가하는 방법을 사용하고 있습니다.

• C:\Program Files\yong.\yong.exe
• C:\Program Files\yh.\yh.exe
• C:\Program Files\small.\small.exe
• C:\Program Files\tmp.\tmp.exe

추가적으로 [C:\Program Files\(폴더명).] 폴더 형태의 다양한 변종들이 발견되고 있습니다.(※ 해당 게시글에서는 yong. 폴더를 예로 들었으므로 다른 이름의 폴더는 참고하여 응용하시기 바랍니다.)

유포 방식은 기존과 동일하게 Internet Explorer 보안 패치가 최신으로 적용되지 않은 경우와 Adobe Flash Player 최신 버전을 사용하지 않는 인터넷 사용자가 해킹된 웹 사이트에 접속할 경우 자동으로 감염되도록 구성되어 있는 것으로 추정됩니다.

최종 실행 파일(MD5 : a459050ea66920f271eea888b82eaee9)은 7-Zip 압축 프로그램 아이콘 모양을 하고 있으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 18/44) 진단명으로 진단되고 있습니다.

[생성 폴더 / 파일 등록 정보 및 진단 정보]

C:\Program Files\12.js

C:\Program Files\yong.
C:\Program Files\yong.\yong.exe
 - MD5 : 8d9e369cc71049c8e05083483595f361
 - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 13/44)

C:\WINDOWS\system32\2011913132322.dll :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 2011(9자리 숫자).dll 형태입니다.

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 5,188,002 Bytes
 - MD5 : fa05bc4277b44880fa6096c12d41fc22
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 9/43)

C:\WINDOWS\system32\ws3help.dll :: ws2help.dll 백업 파일(정상 파일)

1. C:\Program Files\yong. 폴더 문제

---

해당 악성코드에 감염된 경우 [C:\Program Files] 폴더 내부에 그림과 같은 yong. 폴더와 12.js 파일이 생성되는 것을 확인할 수 있습니다.

C:\Program Files\yong. 폴더를 클릭하여 내부에 접근하려고 시도할 경우에는 그림과 같은 오류 메시지가 생성되어 폴더 내부에 접근할 수 없습니다.

또한 해당 폴더를 Windows 탐색기 등을 이용하여 삭제 또는 이름 변경을 시도할 경우 오류 메시지가 생성되는 것을 확인할 수 있습니다.

이로 인하여 온라인 게임 계정 탈취 목적의 악성 파일을 다운로드하는 [C:\Program Files\yong.\yong.exe] 파일은 숨겨진 형태로 사용자에 의해 수동 삭제와 실제 보안 제품에서 진단하여도 치료에 실패하는 것으로 알려져 있습니다.

추가적으로 [C:\Program Files\12.js] 스크립트 파일은 감염 당시 C:\Program Files\2.bat 파일 생성을 통한 감염에 관여한 파일입니다.

2. ws2help.dll 시스템 파일 패치 문제

---

감염된 환경에서는 C:\Program Files\yong.\yong.exe 파일이 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp] 폴더에 ws2help.dll 악성 파일을 5,188,002 Bytes 파일 크기로 생성하여 임시로 sfc_os.dll 파일을 이용하여 윈도우 파일 보호(WFP) 기능을 무력화한 후 ws2help.dll 시스템 파일을 패치하도록 되어 있습니다.

참고로 정상적인 ws2help.dll 시스템 파일은 ws3help.dll 파일로 백업이 이루어져 있는 것을 확인할 수 있습니다.

감염된 환경에서 사용자가 Internet Explorer 웹 브라우저(iexplore.exe)를 비롯한 PCOTP.exe, lin.bin, FF2Client.exe, MapleStory.exe, dnf.exe 등 온라인 게임 프로세스가 동작시 ws2help.dll 악성 파일을 프로세스에 추가하여 정보를 수집하여 외부로 유출을 시도합니다.

mupdate2.exe, AYUpdSrv.aye, AYRTSrv.aye, AYServiceNT.aye, AYAgent.aye, NVCAgent.npc, nsvmon.npc, Nsavsvc.npc, NaverAgent.exe, V3Light.exe, V3LTray.exe, V3LRun.exe, SgSvc.exe, V3LSvc.exe

또한 국내 사용자가 많이 사용하는 알약(ALYac), V3 및 사이트가드(SiteGuard), 네이버 백신(Naver Vaccine) 보안 제품의 기능을 무력화하여 자신을 진단하지 못하게 방해하고 있는 것을 확인할 수 있습니다.

만약 감염된 상태에서 한게임(Hangame) 접속을 시도할 때, 미국(USA)에 위치한 174.139.15.92 서버로 계정 정보가 전송되는 것을 확인할 수 있습니다.

현재 보안 제품을 통해 제대로 치료가 이루어지지 않는 경우가 있는 해당 악성코드에 대한 수동 해결 방법은 다음과 같으므로 절차에 따르시기 바랍니다.(※ 모든 프로그램을 완전히 종료한 상태에서 진행하시기 바랍니다.)

1. C:\Program Files\12.js 파일을 삭제합니다.

2. 루트킷(Rootkit) 제거 도구로 유명한 GMER을 이용하여 C:\Program Files\yong.\yong.exe 파일을 삭제합니다.

단, yong.exe 파일 삭제후 C:\Program Files\yong. 폴더는 여전히 삭제가 불가능하므로 절차에 따르시기 바랍니다.

3. C:\WINDOWS\system32\ws2help.dll 시스템 파일의 확장자명을 변경합니다.(※ 예시 : ws2help.dll-)

ws2help.dll 악성 파일의 확장자명을 변경하며 윈도우 파일 보호(WFP) 기능을 통해 정상적인 ws2help.dll 파일이 복원되는 것을 반드시 확인하시기 바랍니다.

4. 반드시 시스템 재부팅을 하시기 바랍니다.

5. Windows 탐색기를 통해 C:\Program Files\yong. 폴더의 이름을 변경한 후, 수동으로 폴더를 삭제하시면 정상적으로 삭제가 이루어집니다.(※ 예시 : C:\Program Files\yong)

6. 다음의 파일을 수동으로 삭제하시기 바랍니다.

• C:\WINDOWS\system32\2011(9자리 숫자).dll
• C:\WINDOWS\system32\ws2help.dll-
• C:\WINDOWS\system32\ws3help.dll

위와 같은 방식을 통해 문제를 해결하신 분들은 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가적으로 진행하시는 것이 중요합니다.

또한 이들 악성코드에 감염되는 근본적 원인은 사용자가 Windows 보안 패치와 Adobe Flash Player 최신 버전을 사용하지 않는 것이 원인이므로 반드시 최신 패치를 적용하시고 인터넷을 이용하시기 바랍니다.