본문 바로가기

벌새::Analysis

Anti-VM 기법을 이용한 계정 정보 수집 악성코드 유포 주의 (2011.11.16)

최근 Adobe Flash Player, Internet Explorer 웹 브라우저 취약점을 이용한 악성코드 감염 행위 중 가상 환경(VMware, Oracle VM VirturalBox)에서는 동작하지 않는 Anti-VM 기법이 포함된 악성코드 유포 행위를 확인하였습니다.

 

참고로 위와 같은 가상환경에서의 분석을 방해할 목적으로 배포되는 행위는 이전부터 종종 발견되었다고 하며, 개인적으로는 그동안 잘 피해 다니다가 이제서야 실제 보게 되었습니다.

 

취약점을 이용한 악성 스크립트를 통해 최종적으로 다운로드된 파일(MD5 : f4813d8a2761591ed4e1c07f1f6eedfb)은 중국 소프트웨어 업체에서 발행한 "Zhuhai  Kingsoft Software Co.,Ltd" 유효하지 않은 디지털 인증서로 위장하고 있는 것을 확인할 수 있습니다.

참고로 해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Nbcss (VirusTotal : 23/42) 진단명으로 진단되고 있습니다.
 
  • h**p://www.daum**.com:****/mome.exe

해당 악성 파일은 다음(Daum) 도메인과 유사하게 등록된 미국(USA)에 위치한 특정 서버로부터 mome.exe(MD5 : 3ee55db07f7178ecd50b695e54bcc139) 파일을 다운로드하여 다수의 악성 파일을 생성하며, 해당 파일에 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.

 

[생성 폴더(파일) 및 진단 정보]

C:\(폴더)\svohcst.exe :: 숨김(H) 속성 / 최종 파일 자가 복제
 - MD5 : f4813d8a2761591ed4e1c07f1f6eedfb

 - AhnLab V3 : Trojan/Win32.Nbcss (VirusTotal : 23/42)
※ 해당 파일은 시스템 폴더 등 특정 폴더에 위치할 것으로 추정됩니다.

C:\dn :: 숨김(H) 속성
C:\dn\svohcst.exe
 - MD5 : 12ec4643afdbfef7efbf3129c2f0a3ee
 - Hauri ViRobot : Trojan.Win32.PSWIGames.247296.N (VirusTotal : 17/42)

C:\dnf :: 숨김(H) 속성
C:\dnf\_dnf.dll
 - MD5 : 033d7aab6e3ed0c6743dd11d8df3c359
 - AhnLab V3 : Win-Trojan/Onlinegamehack.627712.C (VirusTotal : 13/42)

C:\dnf\svohcst.exe
 - MD5 : 8b7bae811db2c0f7dbb78828da78bbca
 - AhnLab V3 : Dropper/OnlineGameHack18.Gen (VirusTotal : 20/42)

C:\fzgd :: 숨김(H) 속성
C:\fzgd\_fzgd.dll
 - MD5 : 602e9f12a73fcbe2882561c02720f0b8
 - Kaspersky : Trojan-GameThief.Win32.OnLineGames.bohk (VirusTotal : 6/42)

C:\fzgd\svohcst.exe
 - MD5 : 1d85b6384ee37484801318dd414f4ced
 - Microsoft : PWS:Win32/OnLineGames.LE (VirusTotal : 21/42)

C:\js :: 숨김(H) 속성
C:\js\svohcst.exe
 - MD5 : b28e38210a94517e8c18e25b0b8c609a
 - Hauri ViRobot : Trojan.Win32.PSWIGames.12800.GZ (VirusTotal : 24/42)

C:\lq :: 숨김(H) 속성
C:\lq\svohcst.exe
 - MD5 : 264ffb183ac37fe80c0370f50a042559
 - AhnLab V3 : Dropper/OnlineGameHack18.Gen (VirusTotal : 21/42)

C:\mone :: 숨김(H) 속성
C:\mone\svohcst.exe
 - MD5 : dadb3f470aba2b21b193f83e3d9b04b0
 - AhnLab V3 : Dropper/OnlineGameHack18.Gen (VirusTotal : 17/42)

C:\mxd :: 숨김(H) 속성
C:\mxd\svohcst.exe
 - MD5 : 1d837285e9cd7a4f665540c0a787d1d6
 - Hauri ViRobot : Trojan.Win32.PSWIGames.19456.GI (VirusTotal : 20/42)

C:\tt :: 숨김(H) 속성
C:\tt\svohcst.exe
 - MD5 : 3d9d385076f7869ea1fc0f7f35de1264
 - Hauri ViRobot : Dropper.Agent.296448 (VirusTotal : 21/41)

C:\WINDOWS\system32\mone2.exe
 - MD5 : 837b9c87adee6db16f70cd7bfde4ee6b
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 7/42)

C:\wow :: 숨김(H) 속성
C:\wow\svohcst.exe
 - MD5 : 46a3950c2d03d492c60cb29eac7dc572
 - Hauri ViRobot : Trojan.Win32.PSWIGames.12800.HA (VirusTotal : 25/42)

감염을 통해 생성된 폴더는 모두 읽기(R) 전용, 숨김(H) 속성을 가지고 있으므로, 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목 체크 해제 및 [숨김 파일 및 폴더 표시]에 체크를 하시고 폴더(파일)를 확인하시기 바랍니다.

우선적으로 해당 악성코드에 감염된 PC에서는 ① Windows 작업 관리자 실행 불가 ② 일부 온라인 스캐너 웹 사이트(바이러스토탈(VirusTotal), VirScan.org) 접속 불가(※ 접속시 웹 브라우저 종료 현상 발생) ③ AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine) 보안 제품 무력화 문제가 발생되는 것을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Download = C:\(폴더)\svohcst.exe

 

감염된 PC는 Windows 시작시마다 svohcst.exe(MD5 : f4813d8a2761591ed4e1c07f1f6eedfb) 파일을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주하며, Windows 작업 관리자 실행 차단, mome.exe 다운로드를 통한 재감염, 특정 보안 제품 무력화 기능을 수행합니다.

Windows 작업 관리자가 동작하지 않는 관계로 Process Explorer 툴을 이용하여 프로세스 정보를 확인해보면 다수의 svohcst.exe 프로세스가 생성되어 있는 것을 확인할 수 있습니다.

 

이는 과거의 유포 사례에서도 비슷한 방식으로 감염을 시켰던 적이 있으므로 참고하시기 바라며, 일반 사용자 입장에서는 정상적인 [C:\WINDOWS\system32\svchost.exe] 프로세스로 착각할 수 있습니다.

svohcst.exe 프로세스 중에서 [C:\(폴더)\svohcst.exe] 프로세스(※ 노란색 동그라미)를 주목해 볼 필요가 있는데, 해당 프로세스는 다른 svohcst.exe 프로세스와는 다르게 CPU 사용량이 계속적으로 찍히는 동작이 이루어집니다.

 

CPU 사용량이 높게 표시되는 이유는 주기적으로 svohcst.exe 프로세스가 AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine)을 체크하여 감염된 상태에서 설치(동작)를 하지 못하도록 방해하기 때문입니다.

 

감염된 환경에서는 한게임(Hangame), 넷마블(NetMarble), 피망(PMang), 넥슨(Nexon) 등 온라인 게임 사이트 계정 정보와 컬쳐랜드(CultureLand), 해피머니(HappyMoney)와 같은 온라인 문화 상품권 사이트 계정 정보를 수집하여 외부로 유출을 하고 있습니다.

테스트에서는 한게임 접속시 미국(USA)에 위치한 174.139.42.19 IP 서버로 아이디(ID), 비밀번호 정보가 유출되는 것을 확인할 수 있습니다.

현재 다수의 보안 제품을 통해 진단 및 치료가 가능하지만, 수동으로 문제 해결이 필요한 사용자는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.(※ 모든 프로그램을 종료한 상태에서 진행하시길 권장합니다.)

1. Windows 작업 관리자 실행이 불가능한 문제로 반드시 Process Explorer 툴을 이용하여 [C:\(폴더)\svohcst.exe], mone2.exe 2개의 프로세스를 수동으로 종료하시기 바랍니다.

참고로 종료해야하는 svohcst.exe 프로세스는 위의 그림과 같이 CPU 사용량이 다른 svohcst.exe 프로세스와는 다르게 높게 표시되며, svohcst.exe 프로세스 종료로 인하여 Windows 작업 관리자 이용이 가능하게 됩니다.

2. Windows 작업 관리자를 실행하여 다음의 프로세스를 수동으로 모두 종료하시기 바랍니다.

 

참고로 프로세스 중 svchost.exe 정상 프로세스와 svohcst.exe 악성 프로세스 구분을 제대로 하시기 바랍니다.

3. 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.(※ 해당 폴더와 파일 대다수는 폴더 옵션에서 수정을 해야지 보입니다.)

 

  • C:\(폴더)\svohcst.exe :: 해당 파일의 폴더 위치가 확인되지 않았으므로 검색을 통해 찾아서 삭제를 하시기 바랍니다.
  • C:\dn
  • C:\dn\svohcst.exe
  • C:\dnf
  • C:\dnf\_dnf.dll
  • C:\dnf\svohcst.exe
  • C:\fzgd
  • C:\fzgd\_fzgd.dll
  • C:\fzgd\svohcst.exe
  • C:\js
  • C:\js\svohcst.exe
  • C:\lq
  • C:\lq\svohcst.exe
  • C:\mone
  • C:\mone\svohcst.exe
  • C:\mxd
  • C:\mxd\svohcst.exe
  • C:\tt
  • C:\tt\svohcst.exe
  • C:\WINDOWS\system32\mone2.exe
  • C:\wow
  • C:\wow\svohcst.exe

4. 레지스트리 편집기(regedit)를 실행하여 시작 프로그램에 등록된 값을 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Download = C:\(폴더)\svohcst.exe

 

모든 절차 후에는 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가로 하시기 바라며, 해당 악성코드 감염 원인이 Windows 보안 업데이트와 Adobe Flash Player 최신 버전을 제대로 적용하지 않은 상태로 인터넷을 이용하는 경우 감염되므로 반드시 최신 보안 업데이트를 체크하시기 바랍니다.

  • 감사합니다. 2011.11.26 05:24 댓글주소 수정/삭제 댓글쓰기

    여기 나열된 바이러스에 감염되서 ㅠㅠ
    인터넷으로 삭제방법 검색하다가 여기까지 와서 쭈욱 따라하고 없앴어요.
    감사드려요.

  • 고맙습니다 2011.12.13 15:41 댓글주소 수정/삭제 댓글쓰기

    저도 여기에 있는 바이러스들에게 감염되서

    짜증났는데.. 정말 도움이 됐습니다

  • 감사합니다. 2011.12.16 22:33 댓글주소 수정/삭제 댓글쓰기

    웹서핑을 하다 avast에서 갑자기 바이러스를 계속해서 띄우더니
    작업관리자창도 계속 자동종료되어 당황했었는데 여기 글 덕분에 해결 됐네요.
    이곳도 들어왔더니 계속 창을 닫는다는 메세지가 떠서 계속 취소 누르면서 읽었습니다. ㅎㅎ
    avast에서 잘 차단한건지 다행히 실행됐던 svohcst.exe 프로세서 하나하고 실행파일 하나만 있네요.

    • 이 악성코드의 특징이 Windows 작업 관리자 실행을 방해했던 것으로 기억합니다.

      해당 악성코드에 감염되지 않기 위해서는 윈도우 보안 업데이트, Adobe Flash Player 최신 버전 설치, Oracle JRE 최신 버전 설치를 반드시 하시고 인터넷을 이용하시기 바랍니다.

  • 감사합니다ㅠ 2011.12.24 14:08 댓글주소 수정/삭제 댓글쓰기

    갑자기 백신을 실행하자마자 블루스크린이뜨더니 프로세스창에 이상한놈들이있네요
    검색해보고 이 블로그 눌럿는데 바로 팅겨버리더라구요;;
    작업관리자도 안켜지길래 process explorer로 정리하고 이글보고 해결햇습니다ㅎㅎ

    이런.. 지금보니깐 이넘이 v3를 삭제해버렷네요..

    • 감염시 백신이 진단 못하면 알약, V3, 네이버 백신을 삭제해 버릴 수 있습니다.ㅠㅠ

      감염된 사용자는 보안 패치가 안된 PC이므로 윈도우, Adobe Flash Player, Oracle JRE 보안 패치를 모두 설치하시기 바랍니다.

  • 金山어쩌구 하는 프로그램과 더불어 Kingsoft, Kxesc라는 중국 해킹 프로그램이 깔렸는데, 벌새님께서 말씀하신 방법대로 열심히 따라서 했는데 저는 프로세스에 svchost.exe에 시스템과 넷워크, 로컬어쩌구 뿐이네요ㅜㅜ tt나 mome는 레지스트리 편집기나 프로세서 프로그램을 봐도 없어요..
    그래서 일단 svchost.exe는 있길래 열심히 그걸 지워봤는데, CPU가 지속적으로 사용되는게 없습니다ㅜ 간간히 CPU가 사용되는걸 지워도 별로 효과도 없고 몇개는 아예 컴퓨터가 꺼지네요ㅜㅜ
    이럴땐 어떡해야 하나요?ㅜ

    • svchost.exe 파일은 정상적인 시스템 파일입니다.

      이 글에서는 svohcst.exe 악성 파일을 말하고 있습니다.

      해당 내용은 몇 개월 전의 내용으로 파일명 또는 위치가 달라졌을 수 있습니다.

      우선 백신 프로그램을 이용하여 정밀 검사를 하시는 것이 좋습니다.