본문 바로가기

벌새::Analysis

V3LTrMsge.exe, vitsinware.dll 파일을 이용한 계정 정보 수집 악성코드 주의 (2011.11.26)

반응형
이번 주말을 기점으로 웹하드, 언론사 등 국내 다수의 인터넷 사이트 접속시 Windows 보안 패치 및 Adobe Flash Player 최신 버전을 사용하지 않는 사용자들은 자동으로 감염이 이루어지는 다양한 악성코드가 유포되고 있습니다.

오늘은 올해 초반에 확인되었던 온라인 게임 계정 탈취 목적의 악성코드와 유사한 성격을 가진 변종에 대해 살펴보도록 하겠습니다.

해당 샘플은 국내 모 언론 사이트 접속시 감염을 유발하는 악성코드 유포에서 최종 다운로드된 암호화된 최종 파일이 XOR을 거쳐 감염이 이루어지는 사례입니다.

참고로 최종 파일(MD5 : 12d58352839b155c98542cb34fb35951)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Taterf.20 (VirusTotal : 11/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

해당 악성코드 감염이 이루어지면 vitsinware.dll 파일을 생성하여 rundll32.exe 프로세스에 추가한 후, 추가적으로 미국(USA)에 위치한 특정 서버(67.213.221.178)에서 암호화된 URL 정보를 가진 pic1.txt 파일 정보를 바탕으로 foxcguin.exe(MD5 : 3e66850de9f4c3ef3d7109ca49e5db6b) 파일을 다운로드하여 실행되도록 구성되어 있습니다.

참고로 foxcguin.exe 파일에 대하여 ESET NOD32 보안 제품에서는 a variant of Win32/PSW.OnLineGames.PWP (VirusTotal : 9/43) 진단명으로 진단되고 있습니다.


[생성 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Microsoft

C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.dll
 - MD5 : 0a687c4a4121f5a63583030686d378d5
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 12/43)

C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.log

C:\WINDOWS\system32\V3athelp10.dll :: 숨김(H) 속성
 - MD5 : f35fd467206804239a2f1a98847fa3d8
 - 알약(ALYac) : Trojan.Downloader.OnlineGames.PA.Gen (VirusTotal : 10/43)

C:\WINDOWS\system32\V3athelp20.dll
 - MD5 : ff82f1e50e60775c8dbc3b50ec069965
 - Dr.Web : Trojan.Packed.194 (VirusTotal : 8/43)

C:\WINDOWS\system32\V3LTrMsge.exe :: 숨김(H) 속성
 - MD5 : 8930269e082087a5b629f05aca27b273
 - BitDefender : Gen:Variant.Taterf.20 (VirusTotal : 9/43)

※ 해당 파일 정보는 최초 감염 시점에서 생성된 파일입니다.
※ V3athelp10.dll, V3athelp20.dll 파일 MD5 값은 생성(부팅) 시점마다 랜덤(Random)하게 생성될 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - V3MRes = C:\WINDOWS\system32\V3LTrMsge.exe
 - vitsinware = rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.dll", CimEcfAchF

감염된 환경에서는 시작 프로그램(Run) 레지스트리 값에 V3MRes(V3LTrMsge.exe), vitsinware(rundll32.exe) 2개의 항목을 등록하여 시스템 시작시마다 자동 실행되도록 구성되어 있습니다.

● V3LTrMsge.exe

시작 프로그램에 등록된 V3LTrMsge.exe 파일은 시스템 시작시마다 자동으로 실행되어, 감염 후 최초 재부팅 과정에서 다음과 같은 동작을 진행합니다.

① C:\WINDOWS\system32\V3athelp10.dll, C:\WINDOWS\system32\V3athelp20.dll 파일 삭제 및 재생성

참고로 V3athelp10.dll, C:\WINDOWS\system32\V3athelp20.dll 파일은 시스템 시작시마다 파일 삭제 및 재생성을 통해 MD5 값을 변경합니다.

② C:\WINDOWS\system32\V3athelp11.dll(MD5 : 2d63838dc26c46ef99cf25b9c620be84) 파일을 생성하며, Dr.Web 보안 제품에서는 Trojan.PWS.Wsgame.30691 (VirusTotal : 11/43) 진단명으로 진단되고 있습니다.

또한 V3athelp10.dll 파일은 다양한 프로세스에 자신을 추가하여 삭제를 방해하며, 특히 AhnLab V3, 알약(ALYac), avast!, AVG, Kaspersky 등 유명 보안 제품 무력화 기능을 포함하고 있습니다.

● rundll32.exe

해당 악성코드는 정상적인 C:\WINDOWS\system32\rundll32.exe(Run a DLL as an App) 프로세스에 자신을 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.

방식은 커맨드(Command) 명령을 이용하여 [rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.dll", CimEcfAchF] 값을 통해 rundll32.exe 프로세스 실행시 악성 vitsinware.dll 파일을 불러오도록 구성되어 있습니다.

rundll32.exe 프로세스는 메모리에 상주하여 그림과 같이 특정 서버에 접속하여 암호화된 pic1.txt 파일을 참조하여 지속적으로 감염을 유발하는 효과를 가질 수 있는 것으로 보입니다.

이를 통하여 감염된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우, iexplore.exe 프로세스에 V3athelp20.dll 파일을 "IEHlprObj Class"라는 이름의 브라우저 도우미 개체(BHO)로 등록하여 다음과 같은 온라인 문화 상품권, 아이템 매매, 온라인 게임 계정 정보를 수집하도록 구성되어 있습니다.

  1. 온라인 문화 상품권 : 해피머니(happymoney.co.kr), 북앤라이프(booknlife.com), 컬쳐랜드(cultureland.co.kr), 틴캐시(teencash.co.kr)
  2. 아이템 매매 : 아이템매니아(itemmania.com), 아이템베이(itembay.com)
  3. 온라인 게임 : 넥슨(Nexon), 넷마블(NetMarble), 피망(PMang), 한게임(HanGame) 등 다수

또한 메모리에 상주하는 rundll32.exe 프로세스에는 vitsinware.dll 파일이 추가되어 동작하는 것을 확인할 수 있습니다.

실제 테스트에서 해피머니(HappyMoney) 사이트에 접속하여 로그인을 시도할 경우 미국(USA)에 위치한 67.213.211.54 IP 서버로 계정 아이디(ID), 비밀번호가 전송되는 동작을 확인할 수 있습니다.

해당 악성코드에 감염된 경우 외형적으로 눈치챌 수 있는 부분은 시스템 재부팅 및 종료시 rundll32.exe 프로세스가 정상적으로 종료되지 않는다는 메시지 창이 생성될 것으로 보입니다.

그러므로 보안 제품을 통한 치료가 어려운 환경에서는 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료하시고 진행하시기 바랍니다.)

일부 악성 파일은 Windows 기본값에서 보이지 않으므로, 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목 체크 해제 및 [숨김 파일 및 폴더 표시]에 체크를 하시고 확인하시기 바랍니다.

1. Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "IEHlprObj Class" 브라우저 도우미 개체(BHO) 종료하기

"IEHlprObj Class" 항목 종료 방식은 해당 항목을 선택하시고 [사용 안 함]으로 변경하시기 바랍니다.

2. Windows 작업 관리자에서 rundll32.exe 프로세스 수동으로 종료하기

3. Windows 탐색기를 이용하여 다음의 폴더, 파일을 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Microsoft
  • C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.dll
  • C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.log

4. 루트킷(Rootkit) 검색툴로 유명한 GMER 도구를 이용하여 다음의 파일을 찾아 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\V3athelp10.dll
  • C:\WINDOWS\system32\V3athelp11.dll
  • C:\WINDOWS\system32\V3athelp20.dll
  • C:\WINDOWS\system32\V3LTrMsge.exe

참고로 GMER 도구를 이용하는 이유는 V3athelp10.dll 파일이 다수의 프로세스에 삽입되어 수동 삭제가 불가능하기 때문입니다.

5. 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - V3MRes = C:\WINDOWS\system32\V3LTrMsge.exe
 - vitsinware = rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.dll", CimEcfAchF

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E140F8D2-85AE-447C-B378-9AAE5E622514}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E140F8D1-85AE-447C-B378-9AAE5E622514}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E140F8D8-85AE-447C-B378-9AAE5E622514}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E140F8D2-85AE-447C-B378-9AAE5E622514}

참고로 만약 시작 레지스트리 값 중 "vitsinware" 항목을 제대로 삭제하지 않았을 경우, 시스템 시작시마다 위와 같은 오류창이 생성되므로 주의하시기 바랍니다.

모든 수동 조치 후에는 반드시 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가로 진행하시기 바라며, Windows 보안 업데이트와 Adobe Flash Player 최신 버전 사용을 생활화하시고 인터넷을 이용하는 습관을 가지시기 바랍니다.

728x90
반응형