본문 바로가기

벌새::Analysis

V3LTrMsge.exe, vitsinware.dll 파일을 이용한 계정 정보 수집 악성코드 주의 (2011.11.26)

이번 주말을 기점으로 웹하드, 언론사 등 국내 다수의 인터넷 사이트 접속시 Windows 보안 패치 및 Adobe Flash Player 최신 버전을 사용하지 않는 사용자들은 자동으로 감염이 이루어지는 다양한 악성코드가 유포되고 있습니다.

오늘은 올해 초반에 확인되었던 온라인 게임 계정 탈취 목적의 악성코드와 유사한 성격을 가진 변종에 대해 살펴보도록 하겠습니다.

해당 샘플은 국내 모 언론 사이트 접속시 감염을 유발하는 악성코드 유포에서 최종 다운로드된 암호화된 최종 파일이 XOR을 거쳐 감염이 이루어지는 사례입니다.

참고로 최종 파일(MD5 : 12d58352839b155c98542cb34fb35951)에 대하여 BitDefender 보안 제품에서는 Gen:Variant.Taterf.20 (VirusTotal : 11/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

해당 악성코드 감염이 이루어지면 vitsinware.dll 파일을 생성하여 rundll32.exe 프로세스에 추가한 후, 추가적으로 미국(USA)에 위치한 특정 서버(67.213.221.178)에서 암호화된 URL 정보를 가진 pic1.txt 파일 정보를 바탕으로 foxcguin.exe(MD5 : 3e66850de9f4c3ef3d7109ca49e5db6b) 파일을 다운로드하여 실행되도록 구성되어 있습니다.

참고로 foxcguin.exe 파일에 대하여 ESET NOD32 보안 제품에서는 a variant of Win32/PSW.OnLineGames.PWP (VirusTotal : 9/43) 진단명으로 진단되고 있습니다.


[생성 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Microsoft

C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.dll
 - MD5 : 0a687c4a4121f5a63583030686d378d5
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 12/43)

C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.log

C:\WINDOWS\system32\V3athelp10.dll :: 숨김(H) 속성
 - MD5 : f35fd467206804239a2f1a98847fa3d8
 - 알약(ALYac) : Trojan.Downloader.OnlineGames.PA.Gen (VirusTotal : 10/43)

C:\WINDOWS\system32\V3athelp20.dll
 - MD5 : ff82f1e50e60775c8dbc3b50ec069965
 - Dr.Web : Trojan.Packed.194 (VirusTotal : 8/43)

C:\WINDOWS\system32\V3LTrMsge.exe :: 숨김(H) 속성
 - MD5 : 8930269e082087a5b629f05aca27b273
 - BitDefender : Gen:Variant.Taterf.20 (VirusTotal : 9/43)

※ 해당 파일 정보는 최초 감염 시점에서 생성된 파일입니다.
※ V3athelp10.dll, V3athelp20.dll 파일 MD5 값은 생성(부팅) 시점마다 랜덤(Random)하게 생성될 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - V3MRes = C:\WINDOWS\system32\V3LTrMsge.exe
 - vitsinware = rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.dll", CimEcfAchF

감염된 환경에서는 시작 프로그램(Run) 레지스트리 값에 V3MRes(V3LTrMsge.exe), vitsinware(rundll32.exe) 2개의 항목을 등록하여 시스템 시작시마다 자동 실행되도록 구성되어 있습니다.

● V3LTrMsge.exe

시작 프로그램에 등록된 V3LTrMsge.exe 파일은 시스템 시작시마다 자동으로 실행되어, 감염 후 최초 재부팅 과정에서 다음과 같은 동작을 진행합니다.

① C:\WINDOWS\system32\V3athelp10.dll, C:\WINDOWS\system32\V3athelp20.dll 파일 삭제 및 재생성

참고로 V3athelp10.dll, C:\WINDOWS\system32\V3athelp20.dll 파일은 시스템 시작시마다 파일 삭제 및 재생성을 통해 MD5 값을 변경합니다.

② C:\WINDOWS\system32\V3athelp11.dll(MD5 : 2d63838dc26c46ef99cf25b9c620be84) 파일을 생성하며, Dr.Web 보안 제품에서는 Trojan.PWS.Wsgame.30691 (VirusTotal : 11/43) 진단명으로 진단되고 있습니다.

또한 V3athelp10.dll 파일은 다양한 프로세스에 자신을 추가하여 삭제를 방해하며, 특히 AhnLab V3, 알약(ALYac), avast!, AVG, Kaspersky 등 유명 보안 제품 무력화 기능을 포함하고 있습니다.

● rundll32.exe

해당 악성코드는 정상적인 C:\WINDOWS\system32\rundll32.exe(Run a DLL as an App) 프로세스에 자신을 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.

방식은 커맨드(Command) 명령을 이용하여 [rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.dll", CimEcfAchF] 값을 통해 rundll32.exe 프로세스 실행시 악성 vitsinware.dll 파일을 불러오도록 구성되어 있습니다.

rundll32.exe 프로세스는 메모리에 상주하여 그림과 같이 특정 서버에 접속하여 암호화된 pic1.txt 파일을 참조하여 지속적으로 감염을 유발하는 효과를 가질 수 있는 것으로 보입니다.

이를 통하여 감염된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우, iexplore.exe 프로세스에 V3athelp20.dll 파일을 "IEHlprObj Class"라는 이름의 브라우저 도우미 개체(BHO)로 등록하여 다음과 같은 온라인 문화 상품권, 아이템 매매, 온라인 게임 계정 정보를 수집하도록 구성되어 있습니다.

  1. 온라인 문화 상품권 : 해피머니(happymoney.co.kr), 북앤라이프(booknlife.com), 컬쳐랜드(cultureland.co.kr), 틴캐시(teencash.co.kr)
  2. 아이템 매매 : 아이템매니아(itemmania.com), 아이템베이(itembay.com)
  3. 온라인 게임 : 넥슨(Nexon), 넷마블(NetMarble), 피망(PMang), 한게임(HanGame) 등 다수

또한 메모리에 상주하는 rundll32.exe 프로세스에는 vitsinware.dll 파일이 추가되어 동작하는 것을 확인할 수 있습니다.

실제 테스트에서 해피머니(HappyMoney) 사이트에 접속하여 로그인을 시도할 경우 미국(USA)에 위치한 67.213.211.54 IP 서버로 계정 아이디(ID), 비밀번호가 전송되는 동작을 확인할 수 있습니다.

해당 악성코드에 감염된 경우 외형적으로 눈치챌 수 있는 부분은 시스템 재부팅 및 종료시 rundll32.exe 프로세스가 정상적으로 종료되지 않는다는 메시지 창이 생성될 것으로 보입니다.

그러므로 보안 제품을 통한 치료가 어려운 환경에서는 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료하시고 진행하시기 바랍니다.)

일부 악성 파일은 Windows 기본값에서 보이지 않으므로, 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목 체크 해제 및 [숨김 파일 및 폴더 표시]에 체크를 하시고 확인하시기 바랍니다.

1. Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "IEHlprObj Class" 브라우저 도우미 개체(BHO) 종료하기

"IEHlprObj Class" 항목 종료 방식은 해당 항목을 선택하시고 [사용 안 함]으로 변경하시기 바랍니다.

2. Windows 작업 관리자에서 rundll32.exe 프로세스 수동으로 종료하기

3. Windows 탐색기를 이용하여 다음의 폴더, 파일을 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Microsoft
  • C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.dll
  • C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.log

4. 루트킷(Rootkit) 검색툴로 유명한 GMER 도구를 이용하여 다음의 파일을 찾아 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\V3athelp10.dll
  • C:\WINDOWS\system32\V3athelp11.dll
  • C:\WINDOWS\system32\V3athelp20.dll
  • C:\WINDOWS\system32\V3LTrMsge.exe

참고로 GMER 도구를 이용하는 이유는 V3athelp10.dll 파일이 다수의 프로세스에 삽입되어 수동 삭제가 불가능하기 때문입니다.

5. 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - V3MRes = C:\WINDOWS\system32\V3LTrMsge.exe
 - vitsinware = rundll32.exe "C:\Documents and Settings\(사용자 계정)\Microsoft\vitsinware.dll", CimEcfAchF

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E140F8D2-85AE-447C-B378-9AAE5E622514}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E140F8D1-85AE-447C-B378-9AAE5E622514}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E140F8D8-85AE-447C-B378-9AAE5E622514}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E140F8D2-85AE-447C-B378-9AAE5E622514}

참고로 만약 시작 레지스트리 값 중 "vitsinware" 항목을 제대로 삭제하지 않았을 경우, 시스템 시작시마다 위와 같은 오류창이 생성되므로 주의하시기 바랍니다.

모든 수동 조치 후에는 반드시 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가로 진행하시기 바라며, Windows 보안 업데이트와 Adobe Flash Player 최신 버전 사용을 생활화하시고 인터넷을 이용하는 습관을 가지시기 바랍니다.

  • 어렵네요?;; 2011.11.27 17:22 댓글주소 수정/삭제 댓글쓰기

    죄송합니다만, 이 게시글과 관련이 없을 것 같습니다만..
    V3Kill.exe 는 안철수연구소에서 배부한 프로그램인가요?
    최근 컴퓨터가 버벅거리고 그래서 정밀검사를 하였으나 바이러스가 안나와
    마음이 뒤숭숭했는데 OnlineGameHack Rootkit.exe 돌리면서 V3Kill.exe가 V3 365 클리닉에 차단되었다고 뜨더라고요. ( V3Kill1.exe, V3Kill2.exe, V3Kill3.exe, V3Kill4.exe, V3Kill5.exe 가 한꺼번에 차단되었다고 떴습니다.)
    그리고 검색 결과로 나온 V3Kill.exe와 V3Kill 폴더는 숨긴 파일로 검색할 때 나왔습니다.
    또한 프로세스에서도 V3Kill이 작동되어있고요...
    GameHack Rootkit.exe 와 integration1.exe가 작동될 때 마다 cmd가 계속 작동되니 바이러스가 먹은 것은 확실한 것 같은데.. 정밀검사로 해도 바이러스는 안 나오나 컴퓨터 이용에는 초기와 다른 느낌이 확실히 들고...
    정확히 어떻게 해야만 고쳐야하는지 모르겠네요.

    너무 급합니다... 시간이 날 때 한 번 읽어봐주시고 답변달아주시면 매우 감사하겠습니다.

    • 단순히 V3Kill.exe 파일명으로는 악성 여부를 확인하기 어렵습니다.

      V3 365에서 차단을 한다는 것은 뭔가 악성 파일이 아닌가 생각됩니다.

      내용을 봐서는 전용 백신으로 검사를 하시려는 것 같은데 전용 백신은 반드시 안철수연구소 홈페이지에서 다운로드하시기 바랍니다.

      블로그나 다른 사이트에 업로드된 것은 신뢰할 수 없으며, 최신 버전이 아닐 가능성이 높습니다.

  • 어렵네요?;; 2011.11.27 21:17 댓글주소 수정/삭제 댓글쓰기

    답변 감사합니다^^
    그런데 제 컴퓨터에는 안철수연구소 홈페이지에서 정식으로 기간제 상품을 구입한 것이 깔려있습니다. 전용백신이며 항상 1시간 주기로 업데이트가 있다면 자동업데이트를 하도록 되어있고 2~ 3일마다 정밀검사도 합니다. 그런데 그 동안 무엇을 차단한다든지 바이러스가 나온다든지 그러한 상황은 나오지 않았습니다.
    그러다가 갑자기 오늘 V3Kill.exe라며 차단이 되었다고 (Online Game Hack Rootkit.exe 로 검사하였을 때 그랬습니다.) 이름1, 이름2, 이름3, 이름4, 이름5 이렇게 5개나 한 번에 차단되었다고 하니 이상하게? 마음이 편치 않네요..
    VirusTotal 에 검사해보려고도 했으나 숨긴 파일에 있으니 방법을 몰라서 못했고요;;
    자주는 아니지만 인터넷이 순간적으로 꺼져버려 인터넷을 다시 키고 복구시키고 다른 것을 누르면 또 꺼져버리는 현상이 있습니다만, 의심가는 파일이름들을 검사해봤으나 나오지도 않고 그 날 정밀검사해도 바이러스는 나오지 않고..

    계속 같은 말만 반복하는 것 같아서 죄송합니다...
    대체 어떻게 해야할지 모르겠네요..

    • 아마 감염을 유발하는 악성 파일이 v3kill.exe 파일인가 보군요.

      이런 경우에는 사용자가 윈도우 보안 업데이트, Adobe Flash Player 최신 버전을 사용하지 않아서 감염된 웹 사이트 방문시 자동 감염이 이루어졌을 수도 있습니다.

      먼저 보안 패치 등을 꼭 하시기 바라며, 단순히 파일명으로는 제가 어떻게 해야한다고 말씀 드릴 부분은 없어 보입니다.

  • 어렵네요?;; 2011.11.28 00:06 댓글주소 수정/삭제 댓글쓰기

    네. 알겠습니다. 답변 감사합니다~

  • 어렵네요?;; 2011.11.28 03:04 댓글주소 수정/삭제 댓글쓰기

    죄송합니다만 보안과 관련이 있을지는 모르나 도움이 필요해서 댓글을 남깁니다.
    벌새님의 tistory 위에 동영상같은 것이 !로 되어있고 재생이 안됩니다.
    즉, 네이버, 다음, 여러 타 회사홈페이지에서 플래쉬, 동영상 같은 것은 !로 표기되어 있고 재생이 전혀 안되네요..
    혹 고치는 방법을 알고 계신다면 가르쳐주시면 안될까요?

  • 마지막 2011.11.29 13:48 댓글주소 수정/삭제 댓글쓰기

    마지막5번은 빨간색으로 표시된것만 삭제하면 되나요?

  • 한번만더 2011.11.29 13:56 댓글주소 수정/삭제 댓글쓰기

    5번에 빨간색으로 표시된것 밑에
    있는 것들은 삭제 하는게 아닌가요??

  • ㄳㄳ 2011.11.30 17:50 댓글주소 수정/삭제 댓글쓰기

    아.. 감사합니다

  • 행인1 2011.12.03 00:01 댓글주소 수정/삭제 댓글쓰기

    정말 이런데 댓글 안남기는데 너무너무 감사해요 ㅠㅠㅠㅠ 감사해서 댓글을 안남길수가 ㅠㅠ 복받으실꺼예요 ^^

  • 감솨 2012.01.06 23:21 댓글주소 수정/삭제 댓글쓰기

    며칠전 sys, ws2help.dll 바이러스를 벌새님 블로그를 보고 치료를 했는데 알약과 V3에서는 잡히지 않던 바이러스가 nProtect Anti-Virus Spyware를 설치해서 검색해 보니 Gen.Variant.Taterf 20 이란 바이러스가 검출되어 검색을 해보니 또 불새님 블로그에 치료방법이 나와있어 천천히 따라하려고 봤더니 전 V3athelp10.dll 이런 파일이 없고 대신 v3scnpsg0.dll 이랑 v3prtgct0.dll(Gen.Variant.Taterf 20바이러스 위치) 요런게 있는데 요것도 불새님이 작성하신 위의 글처럼 따라서 삭제하면 될까요?
    위에 말씀하신 레지스트리 편집기에서 삭제해야할 부분도 저에겐 없네요.
    V3LTrMsge.exe, vitsinware.dll 파일도 없구요...
    근데 분명 바이러스가 있다고는 하는데 어쩌죠?
    요즘 벌새님 덕분으로 제 컴퓨터가 하나씩 치료되고 있어 너무나도 감사드립니다.^^

    • 말씀하신 dll 파일은 변종으로 악성 파일이 맞습니다.

      해당 내용은 글 작성 당시의 특정 샘플을 이용하였으므로 일부 내용은 현재와 달라질 수 있으므로 참고용으로 활용하시기 바랍니다.

      nProtect 제품을 이용하여 정밀 검사를 하시는 것이 올바른 해결 방법입니다.

      그리고 몇 일 전에도 감염되었다고 하셨는데, 이런 악성 파일에 감염되지 않는 방법은 윈도우 보안 업데이트, Adobe Flash Player 최신 버전 사용, Oracle Java 최신 버전을 사용하시면 됩니다.