울지않는벌새 : Security, Movie & Society

Anti-VM 기법을 이용한 계정 정보 수집 악성코드 유포 주의 (2011.11.16)

벌새::Analysis
최근 Adobe Flash Player, Internet Explorer 웹 브라우저 취약점을 이용한 악성코드 감염 행위 중 가상 환경(VMware, Oracle VM VirturalBox)에서는 동작하지 않는 Anti-VM 기법이 포함된 악성코드 유포 행위를 확인하였습니다.

참고로 위와 같은 가상환경에서의 분석을 방해할 목적으로 배포되는 행위는 이전부터 종종 발견되었다고 하며, 개인적으로는 그동안 잘 피해 다니다가 이제서야 실제 보게 되었습니다.

취약점을 이용한 악성 스크립트를 통해 최종적으로 다운로드된 파일(MD5 : f4813d8a2761591ed4e1c07f1f6eedfb)은 중국 소프트웨어 업체에서 발행한 "Zhuhai  Kingsoft Software Co.,Ltd" 유효하지 않은 디지털 인증서로 위장하고 있는 것을 확인할 수 있습니다.

참고로 해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Nbcss (VirusTotal : 23/42) 진단명으로 진단되고 있습니다.
  • h**p://www.daum**.com:****/mome.exe

해당 악성 파일은 다음(Daum) 도메인과 유사하게 등록된 미국(USA)에 위치한 특정 서버로부터 mome.exe(MD5 : 3ee55db07f7178ecd50b695e54bcc139) 파일을 다운로드하여 다수의 악성 파일을 생성하며, 해당 파일에 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.

 

[생성 폴더(파일) 및 진단 정보]

C:\(폴더)\svohcst.exe :: 숨김(H) 속성 / 최종 파일 자가 복제
 - MD5 : f4813d8a2761591ed4e1c07f1f6eedfb
 - AhnLab V3 : Trojan/Win32.Nbcss (VirusTotal : 23/42)
※ 해당 파일은 시스템 폴더 등 특정 폴더에 위치할 것으로 추정됩니다.

C:\dn :: 숨김(H) 속성
C:\dn\svohcst.exe
 - MD5 : 12ec4643afdbfef7efbf3129c2f0a3ee
 - Hauri ViRobot : Trojan.Win32.PSWIGames.247296.N (VirusTotal : 17/42)

C:\dnf :: 숨김(H) 속성
C:\dnf\_dnf.dll
 - MD5 : 033d7aab6e3ed0c6743dd11d8df3c359
 - AhnLab V3 : Win-Trojan/Onlinegamehack.627712.C (VirusTotal : 13/42)

C:\dnf\svohcst.exe
 - MD5 : 8b7bae811db2c0f7dbb78828da78bbca
 - AhnLab V3 : Dropper/OnlineGameHack18.Gen (VirusTotal : 20/42)

C:\fzgd :: 숨김(H) 속성
C:\fzgd\_fzgd.dll
 - MD5 : 602e9f12a73fcbe2882561c02720f0b8
 - Kaspersky : Trojan-GameThief.Win32.OnLineGames.bohk (VirusTotal : 6/42)

C:\fzgd\svohcst.exe
 - MD5 : 1d85b6384ee37484801318dd414f4ced
 - Microsoft : PWS:Win32/OnLineGames.LE (VirusTotal : 21/42)

C:\js :: 숨김(H) 속성
C:\js\svohcst.exe
 - MD5 : b28e38210a94517e8c18e25b0b8c609a
 - Hauri ViRobot : Trojan.Win32.PSWIGames.12800.GZ (VirusTotal : 24/42)

C:\lq :: 숨김(H) 속성
C:\lq\svohcst.exe
 - MD5 : 264ffb183ac37fe80c0370f50a042559
 - AhnLab V3 : Dropper/OnlineGameHack18.Gen (VirusTotal : 21/42)

C:\mone :: 숨김(H) 속성
C:\mone\svohcst.exe
 - MD5 : dadb3f470aba2b21b193f83e3d9b04b0
 - AhnLab V3 : Dropper/OnlineGameHack18.Gen (VirusTotal : 17/42)

C:\mxd :: 숨김(H) 속성
C:\mxd\svohcst.exe
 - MD5 : 1d837285e9cd7a4f665540c0a787d1d6
 - Hauri ViRobot : Trojan.Win32.PSWIGames.19456.GI (VirusTotal : 20/42)

C:\tt :: 숨김(H) 속성
C:\tt\svohcst.exe
 - MD5 : 3d9d385076f7869ea1fc0f7f35de1264
 - Hauri ViRobot : Dropper.Agent.296448 (VirusTotal : 21/41)

C:\WINDOWS\system32\mone2.exe
 - MD5 : 837b9c87adee6db16f70cd7bfde4ee6b
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 7/42)

C:\wow :: 숨김(H) 속성
C:\wow\svohcst.exe
 - MD5 : 46a3950c2d03d492c60cb29eac7dc572
 - Hauri ViRobot : Trojan.Win32.PSWIGames.12800.HA (VirusTotal : 25/42)

감염을 통해 생성된 폴더는 모두 읽기(R) 전용, 숨김(H) 속성을 가지고 있으므로, 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목 체크 해제 및 [숨김 파일 및 폴더 표시]에 체크를 하시고 폴더(파일)를 확인하시기 바랍니다.

우선적으로 해당 악성코드에 감염된 PC에서는 ① Windows 작업 관리자 실행 불가 ② 일부 온라인 스캐너 웹 사이트(바이러스토탈(VirusTotal), VirScan.org) 접속 불가(※ 접속시 웹 브라우저 종료 현상 발생) ③ AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine) 보안 제품 무력화 문제가 발생되는 것을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Download = C:\(폴더)\svohcst.exe

감염된 PC는 Windows 시작시마다 svohcst.exe(MD5 : f4813d8a2761591ed4e1c07f1f6eedfb) 파일을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주하며, Windows 작업 관리자 실행 차단, mome.exe 다운로드를 통한 재감염, 특정 보안 제품 무력화 기능을 수행합니다.

Windows 작업 관리자가 동작하지 않는 관계로 Process Explorer 툴을 이용하여 프로세스 정보를 확인해보면 다수의 svohcst.exe 프로세스가 생성되어 있는 것을 확인할 수 있습니다.

이는 과거의 유포 사례에서도 비슷한 방식으로 감염을 시켰던 적이 있으므로 참고하시기 바라며, 일반 사용자 입장에서는 정상적인 [C:\WINDOWS\system32\svchost.exe] 프로세스로 착각할 수 있습니다.

svohcst.exe 프로세스 중에서 [C:\(폴더)\svohcst.exe] 프로세스(※ 노란색 동그라미)를 주목해 볼 필요가 있는데, 해당 프로세스는 다른 svohcst.exe 프로세스와는 다르게 CPU 사용량이 계속적으로 찍히는 동작이 이루어집니다.

CPU 사용량이 높게 표시되는 이유는 주기적으로 svohcst.exe 프로세스가 AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine)을 체크하여 감염된 상태에서 설치(동작)를 하지 못하도록 방해하기 때문입니다.

감염된 환경에서는 한게임(Hangame), 넷마블(NetMarble), 피망(PMang), 넥슨(Nexon) 등 온라인 게임 사이트 계정 정보와 컬쳐랜드(CultureLand), 해피머니(HappyMoney)와 같은 온라인 문화 상품권 사이트 계정 정보를 수집하여 외부로 유출을 하고 있습니다.

테스트에서는 한게임 접속시 미국(USA)에 위치한 174.139.42.19 IP 서버로 아이디(ID), 비밀번호 정보가 유출되는 것을 확인할 수 있습니다.

현재 다수의 보안 제품을 통해 진단 및 치료가 가능하지만, 수동으로 문제 해결이 필요한 사용자는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.(※ 모든 프로그램을 종료한 상태에서 진행하시길 권장합니다.)

1. Windows 작업 관리자 실행이 불가능한 문제로 반드시 Process Explorer 툴을 이용하여 [C:\(폴더)\svohcst.exe], mone2.exe 2개의 프로세스를 수동으로 종료하시기 바랍니다.

참고로 종료해야하는 svohcst.exe 프로세스는 위의 그림과 같이 CPU 사용량이 다른 svohcst.exe 프로세스와는 다르게 높게 표시되며, svohcst.exe 프로세스 종료로 인하여 Windows 작업 관리자 이용이 가능하게 됩니다.

2. Windows 작업 관리자를 실행하여 다음의 프로세스를 수동으로 모두 종료하시기 바랍니다.

참고로 프로세스 중 svchost.exe 정상 프로세스와 svohcst.exe 악성 프로세스 구분을 제대로 하시기 바랍니다.

3. 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.(※ 해당 폴더와 파일 대다수는 폴더 옵션에서 수정을 해야지 보입니다.)

  • C:\(폴더)\svohcst.exe :: 해당 파일의 폴더 위치가 확인되지 않았으므로 검색을 통해 찾아서 삭제를 하시기 바랍니다.
  • C:\dn
  • C:\dn\svohcst.exe
  • C:\dnf
  • C:\dnf\_dnf.dll
  • C:\dnf\svohcst.exe
  • C:\fzgd
  • C:\fzgd\_fzgd.dll
  • C:\fzgd\svohcst.exe
  • C:\js
  • C:\js\svohcst.exe
  • C:\lq
  • C:\lq\svohcst.exe
  • C:\mone
  • C:\mone\svohcst.exe
  • C:\mxd
  • C:\mxd\svohcst.exe
  • C:\tt
  • C:\tt\svohcst.exe
  • C:\WINDOWS\system32\mone2.exe
  • C:\wow
  • C:\wow\svohcst.exe

4. 레지스트리 편집기(regedit)를 실행하여 시작 프로그램에 등록된 값을 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Download = C:\(폴더)\svohcst.exe

모든 절차 후에는 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가로 하시기 바라며, 해당 악성코드 감염 원인이 Windows 보안 업데이트와 Adobe Flash Player 최신 버전을 제대로 적용하지 않은 상태로 인터넷을 이용하는 경우 감염되므로 반드시 최신 보안 업데이트를 체크하시기 바랍니다.