울지않는벌새 : Security, Movie & Society

배치 파일(.bat)을 이용한 온라인 게임 계정 정보 수집 악성코드 유포 (2011.10.28)

벌새::Analysis
어제 오전 블로그에 등록한 광고를 통해 악성코드가 유포되고 있었다는 정보가 들어와 확인해보니, Internet Explorer 9 버전에서는 노출이 되지 않던 악성 스크립트이 Internet Explorer 6 / 7 / 8 버전으로 접속할 경우 다수 유포가 되고 있었습니다.

이에 따라 급히 해당 블로그 광고를 제거하였으며, Internet Explorer 웹 브라우저와 Adobe Flash Player 패치가 제대로 설치되어 있지 않은 사용자의 경우 감염이 있었을 것으로 판단됩니다.

이미 과거에도 블로그에 등록한 광고 콘텐츠를 통해 악성코드가 유포되는 사례가 있었기에 블로그를 운영하시는 분들은 더욱 주의가 요구됩니다.

해당 악성코드는 주말에 집중적으로 유포되는 것들로 최근에는 평일에도 심심찮게 발견되고 있으며, 이번 악성코드는 기존에 유포되는 것과는 다른 형태로 알려져 있기에 살펴보도록 하겠습니다.


파일명 보안 제품 진단명
new.html ALYac Exploit.JS.Mult.Swf.U
Birthday.swf Microsoft Exploit:SWF/CVE-2010-2884.B
e.avi Kaspersky Exploit.Win32.CVE-2011-2140.a
fun.htm ALYac Exploit.JS.ShellCode.A

해당 악성코드는 Adobe Flash Player 취약점을 이용하여 블로그 광고 서버에 kr.html 악성 스크립트를 추가하여 감염을 유도하고 있습니다.

유포자들이 과거부터 꾸준하게 사용하고 있는 Birthday.swf 파일 내부에는 2개의 쉘코드(ShellCode)가 포함되어 있으며, 하나는 추가적인 swf 파일(ALYac : Exploit.SWF.ShellCode.Gen)을 통해 e.avi 파일을 다운로드하도록 구성되어 있습니다.

다른 코드 하나는 암호화된 ie67.gif 파일을 다운로드하여 xor 복호화를 통해 실행이 이루어지며, 최종적으로 감염을 유발하는 ie8.gif(MD5 : 4dff2b9158af777ffe12c7899c1e7599)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 8/43) 진단명으로 진단되고 있습니다.
  • h**p://211.***.23.**/counter/update.txt
  • h**p://121.***.165.***/icons/kr.exe

감염 과정을 살펴보면 ie8.gif 파일은 외부에서 업데이트 체크를 통해 kr.exe 파일을 다운로드하여, [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\C43C3.exe] 파일로 자가 복제를 한 후 자신은 스스로 삭제 처리를 합니다.

참고로 다운로드된 kr.exe(MD5 : 823e711e1820bf3b6a4a4f40fad99032) 파일에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 17/43) 진단명으로 진단되고 있습니다.

kr.exe(C43C3.exe) 파일을 살펴보면 7-Zip SFX 파일 아이콘 모양을 하고 있으며, 내부에는 Se2b.bat, wiin.vbs 2개의 파일을 포함하고 있습니다.

  • C:\Program Files\Se2b.bat
  • C:\Program Files\wiin.vbs

wiin.vbs

해당 파일은 프로그램 폴더에 생성되며, wiin.vbs 파일에 등록된 명령에 따라 Se2b.bat 파일을 cmd 모드로 실행합니다.

참고로 Se2b.bat(MD5 : fea90e80276224b1b1a2ba70464143a1) 파일에 대하여 Kaspersky 보안 제품에서는 Trojan-GameThief.Win32.OnLineGames.aacum (VirusTotal : 3/43) 진단명으로 진단되고 있습니다.

Se2b.bat

Se2b.bat 배치 파일 내부를 살펴보면 echo e 명령어를 이용하여 tmp11, tmp22 2개의 바이너리를 조합하여 suifePk.exe 실행 파일을 생성하도록 제작되어 있습니다.

과거 위와 유사한 방식의 배치 파일을 이용한 악성코드가 있는지 확인해보니 작년에 스팸 메일(Spam Mail) 발송을 목적으로 제작된 악성코드가 위와 같은 방식으로 제작된 사례가 있었습니다.

tmp11 바이너리 일부

  • C:\Program Files\tmp11 - Offset: 232,337
  • C:\Program Files\tmp22 - Offset: 19,634

실제 tmp11 바이너리를 확인해보면 PE 구조로 되어 있으며 최종적으로 생성된 [C:\Program Files\suifePk.exe] 파일은 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ws2help.dll] 악성 파일을 10MB 수준으로 크게 만들어 윈도우 파일 보호(WFP) 기능을 일시적으로 무력화한 후 [C:\WINDOWS\system32\ws2help.dll] 시스템 파일을 악성 파일로 패치를 하는 동작이 이루어집니다.


[생성 파일 및 진단 정보]

C:\WINDOWS\system32\20111028133148.dll :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 2011(10자리 숫자).dll 파일 형태입니다.

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 10,389,698 Bytes
 - MD5 : 5ded1e160125d87fd7b4444d696d2faa
 - Hauri ViRobot : Trojan.Win32.PatchedDll.C (VirusTotal : 11/43)

C:\WINDOWS\system32\ws3help.dll :: ws2help.dll 백업 파일(정상 파일)
C:\WINDOWS\system32\wuapi.exe

ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일은 과거부터 악성 파일로 바꿔치기 되어 정상적인 파일 크기보다 비정상적으로 큰 10MB 용량을 가지고 있는 것이 특징입니다.

해당 파일은 사용자가 한게임(Hangame), 피망(PMang), 넷마블(NetMarble), 넥슨(Nexon) 등 국내 온라인 게임 사이트에 접속하여 로그인을 시도할 경우 iexplore.exe 프로세스에 삽입된 ws2help.dll 악성 파일을 통해 계정 정보를 수집하여 외부로 전송이 이루어집니다.

또한 알약(ALYac), V3, 네이버 백신(Naver Vaccine)이 설치된 환경인 경우 해당 보안 제품의 동작을 무력화하는 기능이 포함되어 있습니다.

실제 정보 유출이 이루어지는 패킷을 확인해보면 미국(USA)에 위치한 174.139.15.92 IP 주소로 전송이 이루어지고 있는 것을 확인할 수 있습니다.

해당 악성코드에 감염된 사용자는 보안 제품을 이용하여 치료를 하신 후, 반드시 Adobe Flash Player 최신 버전 사용을 비롯한 Windows 보안 패치를 모두 적용하시고 인터넷을 이용하시기 바랍니다.

수동으로 문제 해결을 원하시는 분들은 모든 프로그램을 종료한 상태에서 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.

1. C:\WINDOWS\system32\ws2help.dll 파일 확장자 변경(※ 예시 : ws2help.dll-)

참고로 악성 ws2help.dll 파일의 확장자명은 변경하면 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 ws2help.dll 시스템 파일이 복원이 이루어지므로 반드시 확인을 하시기 바랍니다.

2. 반드시 시스템 재부팅을 진행하시기 바랍니다.

3. 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\2011(10자리 숫자).dll
  • C:\WINDOWS\system32\ws2help.dll- :: 확장자명이 변경된 ws2help.dll 파일
  • C:\WINDOWS\system32\ws3help.dll
  • C:\WINDOWS\system32\wuapi.exe

주말마다 웹하드, 언론 사이트, 블로그 광고 등이 노출된 웹 사이트에 접속하는 동작만으로도 자동으로 감염이 이루어질 수 있으므로, 보안 제품의 진단 능력보다는 운영 체제(OS)와 자신이 설치한 각종 응용 프로그램의 최신 업데이트를 적용하시는 것이 가장 확실한 방법입니다.