본문 바로가기

벌새::Analysis

Oracle JRE 취약점을 이용한 온라인 게임 악성코드 유포 주의 (2011.12.10)

이번 주말을 이용하여 유포가 이루어지고 있는 온라인 게임 및 문화 상품권 계정 탈취 목적의 악성코드 유포 방식이 Oracle JRE(Java Runtime Environment) 취약점(CVE-2011-3544)을 이용하고 있는 부분을 확인하였습니다.
 

Oracle JRE 플러그인 취약점과 관련하여 10월 19일에 최신 보안 패치를 공개하였으며, JRE 6 Update 27 또는 JRE 7 Java SE 이하 버전을 사용하는 사용자의 경우 자동으로 감염될 것으로 추정됩니다.

기존의 경우 Adobe Flash Player 취약점과 Internet Explorer 웹 브라우저 취약점 관련 악성 스크립트를 이용하던 방식에서 Oracle JRE 취약점까지 추가된 이번 유포 방식으로 인하여 그 동안 Oracle JRE 플러그인을 설치하고 업데이트를 제대로 하지 않은 사용자들은 많은 감염이 예상됩니다.

 

이번 유포 사례 중에서는 아프리카TV 개인 방송국에 접속시 외부 광고 서버 해킹을 통한 악성 스크립트 유포가 확인되고 있으며, 실제 아프리카TV 사이트서 발견되는 스크립트 부분을 간략하게 살펴보도록 하겠습니다.

 

개인적으로 확인된 광고 서버를 통한 유포에서는 그림과 같이 아프리카 특정 웹 페이지에 추가된 광고 관련 자바 스크립트 소스를 불러오는 과정에서 악성 iframe 소스가 추가된 부분을 발견할 수 있으며, 이로 인하여 사용자가 아프리카TV 개인 방송국 또는 그 외 서비스를 이용하는 과정에서 취약점을 가진 PC 환경인 경우 자동으로 감염될 수 있으리라 판단됩니다.

 

이번 유포에서는 기존과 마찬가지로 Adobe Flash Player 취약점을 이용한 Birthday.swf(Microsoft : Exploit:SWF/CVE-2011-2140.A) 파일이 이용되고 있으며, 내부에서는 2개의 쉘코드(ShellCode)를 확인할 수 있습니다.

첫 번째 쉘코드는 CVE-2011-2140 취약점을 이용한 swf 파일로 avast! 보안 제품에서는 SWF:CVE-2011-2140-A [Expl] 진단명으로 진단되며, 두 번째 쉘코드는 암호화된 ie67.gif 파일을 다운로드하여 XOR을 통해 악성 파일(MD5  : bc679bd61a790f2428e97a7db61eef07)을 실행하도록 구성되어 있습니다.

참고로 해당 악성 파일에 대하여 BitDefender 보안 제품에서는 Trojan.Agent.ATGG (VirusTotal : 12/43) 진단명으로 진단되고 있습니다.

 

Oracle JRE 취약점을 이용한 부분을 살펴보면 applet.jar 파일을 다운로드하여 실행하는 과정에서 최종적으로 java.exe(MD5 : 1b0cefd2621e3bd631494b2c7cd2bed6) 파일을 다운로드하여 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\xxoo.exe] 파일로 자가 복제를 합니다.

참고로 해당 파일에 대하여 avast! 보안 제품에서는 Win32:Downloader-LMY [Trj] (VirusTotal : 18/43) 진단명으로 진단되고 있습니다.

xxoo.exe 파일은 특정 서버에 접속하여 암호화(update1.txt)된 다운로드 URL 정보를 받아 baker.exe(MD5 : f379953a361366c37fcdbcac79ccffec) 파일을 추가 다운로드하여 시스템 감염을 유발합니다.

해당 파일에 대하여 알약(ALYac) 보안 제품에서는 Trojan.Dropper.OnlineGames.wsxp (VirusTotal : 27/43) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\drivers\kill.sys
 - MD5 : bfc2d0d49f32b864493c887e2d5b8275
 - 알약(ALYac) : Trojan.Rootkit.Ressdt (VirusTotal : 8/43)
※ kill.sys 파일은 알약(ALYac), AhnLab V3 보안 제품이 설치되어 있는 환경에서만 생성됩니다.

C:\WINDOWS\system32\ws2help.dll
 - MD5 : 56eeabed17b700d447ee9225149a811f
 - 알약(ALYac) : Spyware.OnlineGames.wsxp (VirusTotal : 12/43)

C:\WINDOWS\system32\ws2help.dll.MDF.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.

C:\WINDOWS\system32\ws2helpXP.dll :: ws2help.dll 백업 파일(정상 파일)

 

감염되어 생성된 파일을 살펴보면 알약(ALYac), AhnLab V3 보안 제품이 설치된 환경에서 최초 감염시 kill.sys 파일을 진단하지 못할 경우 보안 제품을 강제로 종료시키는 kill.sys 드라이버 파일을 생성합니다.

 

또한 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 백업하고 자신을 악성 파일로 교체(패치)하여 다음과 같은 악의적인 기능을 수행합니다.

 

  1. 온라인 게임 계정 수집 : 게임하이(GameHi), 한게임(HanGame), 넷마블(NetMarble), 피망(PMang), 넥슨(Nexon) 등
  2. 온라인 문화 상품권 계정 수집 : 컬쳐랜드(CultureLand), 틴캐시(TeenCash)
  3. 보안 제품 무력화 : AhnLab V3, 사이트가드(SiteGuard), 알약(AhnLab), 네이버 백신(Naver Vaccine) 등

 

감염된 환경에서 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 악성 ws2help.dll 파일이 추가되며, 원래의 ws2help.dll 기능은 백업된 ws2helpXP.dll 파일을 참조하는 것을 확인할 수 있습니다.

 

이를 통하여 표적이 된 웹 사이트에 사용자가 접속하여 로그인을 시도할 경우 아이디(ID), 비밀번호와 같은 계정 정보가 외부로 유출되는 것을 확인할 수 있습니다.

참고로 테스트에서는 미국(USA)에 위치한 174.139.27.75 IP 서버로 계정 정보가 전송되는 것을 확인하였습니다.

해당 악성코드에 감염된 사용자 중에서 보안 제품을 통한 치료에 문제가 있는 경우, 다음과 같은 수동 방식으로 문제를 해결하시기 바랍니다.(※ 절차를 준수해 주시기 바라며, 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

1. Windows 탐색기에서 [C:\WINDOWS\system32\drivers\kill.sys] 파일을 찾아 삭제하시기 바랍니다.

2. 레지스트리 편집기(regedit)에서 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony

3. [C:\WINDOWS\system32\ws2help.dll] 파일을 찾아 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : ws2help.dll-)

 

악성 ws2help.dll 파일을 ws2help.dll- 파일로 변경한 경우, 윈도우 파일 보호(WFP) 기능을 통해 일정한 시간이 경과하면 자동으로 정상적인 ws2help.dll 파일이 생성되므로 반드시 생성 여부를 확인하시고 시스템 재부팅을 진행하시기 바랍니다.

만약 ws2help.dll 파일이 재생성되지 않은 상태에서 시스템 재부팅을 할 경우, 블루 스크린(BSoD)을 통한 윈도우 부팅 불가 문제가 발생할 수 있습니다.

4. 시스템 재부팅 후 다음의 파일을 수동으로 삭제하시기 바랍니다.

 

  • C:\WINDOWS\system32\ws2help.dll- :: 악성 ws2help.dll 파일의 확장자명이 변경된 파일
  • C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp
  • C:\WINDOWS\system32\ws2helpXP.dll

모든 절차를 완료한 사용자는 반드시 국내외 유명 보안 제품을 이용하여 추가적인 정밀 검사를 진행하시기 바랍니다.

이번 유포 사례처럼 이제는 매월 정기적으로 제공되는 Windows 보안 업데이트, Adobe Flash Player 최신 버전 사용 및 Oracle JRE 플러그인이 설치된 PC이 경우 최신 버전 사용을 주기적으로 체크하여 취약한 버전을 사용하는 일이 없도록 주의하셔야 합니다.

  • 이전 댓글 더보기
  • 비밀댓글입니다

  • 비밀댓글입니다

  • 비밀댓글입니다

    • tmp 파일은 정상 파일이지만, 감염 이전의 깨끗한 상태로 유지하시려면 삭제하시기 바랍니다.

      ws2helpxp.dll 파일 역시 정상 파일이지만 삭제하셔도 상관없습니다.

  • 범냉이 2011.12.13 09:02 댓글주소 수정/삭제 댓글쓰기

    ... 댓글이 왜케 많나 했더니..

    해피한 질문은 아닌 듯 보이는 군요.. ㄷㄹㄷㄹ

  • 2011.12.13 20:40 댓글주소 수정/삭제 댓글쓰기

    tmp 파일이 소문자가 2개인데 지워도되는건가여?

  • 비밀댓글입니다

  • 아프리카 2011.12.17 15:24 댓글주소 수정/삭제 댓글쓰기

    퍼갑니다.. 이건 많이 알릴수록 좋겠네요. 아프리카 애청자라서 ㄷㄷ

  • 미녕 2011.12.17 23:52 댓글주소 수정/삭제 댓글쓰기

    항상좋은글 감사드립니다.
    C:\WINDOWS\system32\drivers\kill.sys

    이파일이 알약 실시간감시에서 치료하기 눌러도 2초후 다시뜨고

    폴더에 들어가서 수동으로 삭제해도 다시 kill.sys파일이 생성됩니다.ㅜ

    어떡하죠?ㅜㅜ

    • 제가 확인하지 못한 부분인데, 해당 파일 삭제를 맨 나중에 하시고 다른 악성 파일부터 제거해 보시기 바랍니다.

      아마 다른 악성 파일이 모니터링하면서 해당 파일이 삭제되면 재생성하도록 하는가 봅니다.ㅠㅠ

  • 미녕 2011.12.18 00:18 댓글주소 수정/삭제 댓글쓰기

    감사드립니당ㅎㅎ

    안전모드가서 삭제하고왓어요 ! ㅎㅎ

    앞으로도 자주자주 들릴게여 ^^

  • 미녕 2011.12.18 00:19 댓글주소 수정/삭제 댓글쓰기

    으 이런또라이들 ㅋㅋ
    밑에거 부터 하고 마지막에 해도 안되네요ㅜㅜ

    방법 없을까요?ㅜㅜ

    • 아마 다른 추가적인 악성 파일이 존재한 것이 아닌가도 생각됩니다.ㅠㅠ

    • 지금 유포되는 샘플로 확인을 해보니 재생성 문제는 없습니다.

      아마 사용자가 알약을 켜둔 상태에서 치료하려고 하니 재생성되는 것 같은데 알약을 완전히 종료한 후 파일 삭제를 해보시기 바랍니다.^^;

  • 2011.12.18 13:03 댓글주소 수정/삭제 댓글쓰기

    음 이번에도 다시 바이러스를 먹엇네요 ws2help.dll의 용량이 20kb에서 올라가는 것을 확인햇는데요 전용백신으로 치료한뒤 다시 ws2helpxp.dll을 삭제하고
    ws2help.dll.PZ.tmp, ws2help.dll.YM.tmp 가 있는데요 이것도 둘다 삭제하면될까여?

    • ws2helpxp.dll, tmp 파일 모두 삭제하셔도 됩니다.

      재감염이 된다는 것은 사용자가 윈도우 보안 업데이트, Adobe Flash Player 최신 버전 미사용, Oracle JRE 최신 버전 미사용으로 인한 문제이므로 모두 최신 업데이트를 하시기 바랍니다.

  • 안녕하세요! 요 몇 일 동안 언론사들이 한꺼번에 악성코드에 감염되었다는 경고로 접속이 안되고 있어서 검색을 통해 찾아왔습니다.
    http://bartsesang.tistory.com/655

    언론사들도 위 악성 코드에 감염된 것일까요?


    제 경우는 avast 빠른 검사로 악성코드인지 바이러스가 5개 확인되었네요.
    어떤 것인지 확인도 안하고 삭제해서 위 악성코드인지는 모르겠어요.

    위 설명을 제대로 읽지도 않고 무작정 ws2help.dll을 지우려 했는데,
    안전모드에서도 안지워지고 안전모드 command에서도 안지워지고...
    이거 어떻게하나 물어보려 다시 왔다가 중요한 파일이라는거 읽게 됐네요. 휴~

    kill.sys 파일은 없고 레지스트리에 agony도 존재하지 않으면
    제 컴퓨터엔 악성코드 감염되지 않은 것이라 봐도 될까요?

  • 안타깝게도 2011.12.23 13:35 댓글주소 수정/삭제 댓글쓰기

    이것 덕분에 던파 털렸네요. 에휴.. 털린 직후 검사해보니 ws2help.dll이 뜨는군요..

  • 비밀댓글입니다

    • ws2help.dll 파일이 감염되어서 치료하시려면 해당 수동 방법으로 되지 않을 경우에는 전용 백신을 이용해 보시기 바랍니다.

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105

      그리고 Adobe Reader 문제는 제어판에서 삭제를 하시고 http://get.adobe.com/kr/reader/ 사이트에서 최신 버전을 다운로드하여 설치해 보시기 바랍니다.

    • 하하호호 2011.12.24 13:17 댓글주소 수정/삭제

      친절한 답변 감사합니다 어도브 리더를 삭제하고 다시 까니까 설치가 되더라구요ㅋ그런데 알약 검사했는데 ws2help.dll파일이 감염됐다는 말은 안 나왔는데 이전에 검사했을 때spyware.onlinegames.wsxp가 나오고 그 뒤로 검사했는데 또 나와서 불안해서요. 트로잔에 걸린 파일 관련된 걸 모두 삭제해서 지금은 알약검사결과에 저 스파이웨어가 안 나오긴 해요. 근데 게임 안하는데 네이버,다음 로그인시 아이디나 비번이 전송될 수도 있나요? 그리고 지금은 알약으로 치료해서 알약검사결과로는 바이러스가 검출되지 않는데 이전에 트로잔 관련해서 바이러스에 많이 걸려있었거든오.게임캐쉬말고 그냥 인터넷결제해도 괜찮은가요?

    • 포털 사이트 계정은 유출되지 않을 것으로 보이며, 온라인 게임과 문화상품권 사이트를 주로 노리고 있습니다.

      이 악성코드에 감염되는 원인은 윈도우 보안 업데이트를 최신으로 유지하지 않거나, Adobe Flash Player 최신 버전 미사용, Oracle JRE 프로그램 최신 버전 미사용자의 경우 자동으로 감염될 수 있습니다.

      그러므로 항상 최신 업데이트를 체크하는 습관을 가지시기 바랍니다.

    • 하하호호 2011.12.24 16:10 댓글주소 수정/삭제

      감사합니다 역시 업데이트가 중요하군요 그런데 트로잔 걸린 파일과 관련된 것들을 다 지웠는데 프로그램추가/제거에 들어가니 exe파일로 아직 존재하고 있더군요. 안전모드에서 제거해도 다시 생깁니다. 이런 건 어떻게 제거해야 하나요?ㅠ

    • 제어판에 있다는 부분은 저도 잘 모르겠습니다. 스샷을 봐야지 알 것 같습니다. 뭔가 새로운 형태인가?

    • 2011.12.26 18:45 댓글주소 수정/삭제

      비밀댓글입니다

    • 그 부분에 대해서는 확인해 봐야지 알 것 같습니다. 단순히 파일명으로는 판단하기 어렵습니다.

    • 2011.12.26 20:34 댓글주소 수정/삭제

      비밀댓글입니다

    • 제가 봐서는 해당 폴더는 시스템과 연결된 곳은 아닙니다.

      알약 어떤 이유로 시스템 파일을 백업해 둔 폴더로 보이는데, 악성 파일로 진단된다면 삭제를 하셔도 될 것으로 보입니다.

  • 비밀댓글입니다

  • 2012.01.09 22:55 댓글주소 수정/삭제 댓글쓰기

    으음 또 걸려버렷네요 ;;
    마인크래프트 같은 게임을 구축기로 돌릴때
    방화벽을 풀어놓는경우가있는데요
    혹시 이런것때문에 걸리기도할까요?
    그런에 요즘은 이게 걸리지만
    kill.sys 가 생성이 안되있구요
    ws2help.dll 파일이 바이러스 걸린듯이 용량이 높으며
    tmp 파일들도있는데요
    그래서 ws2help.dll- 로 변환햇지만
    재생성이 안되는경우가있네요....
    어떻게해야할까요?

    마인크래프트 같은 방화벽을 풀고 하는게임의 경우에서 걸리는건가요?

    • 윈도우 보안 업데이트, Adobe Flash Player, Oracle Java 프로그램을 최신 버전으로 사용하지 않기 때문입니다.

      보안 패치를 하시면 매번 반복적으로 감염되지 일이 없습니다.

  • 2012.01.09 23:20 댓글주소 수정/삭제 댓글쓰기

    음 걸릴때마다 V3 Game Hack Kill 전용 백신으로 감지되어 치료했는데요
    방금 햇는데 그대로 ws2help.dll 의 용량이 90kb로 유지되어있네요 최신버젼으로 바꿔보고 다시 해보는게좋을까요?

  • 2012.01.09 23:25 댓글주소 수정/삭제 댓글쓰기

    그리고 Oracle Java 경우는 보통 인터넷에서 다운받을수있는 자바인가요?
    제어판에서 java를 눌러서 업데이트 시키면되나요?

  • 2012.01.10 08:41 댓글주소 수정/삭제 댓글쓰기

    으으 드디어 치료를 했네요

    그런데 치료를 하고 system32폴더를 가니 ws2help.dll 정상파일과
    바이러스에 걸린 ws2help.dll이 ws2help.dllx 라는 파일로 변형되있네요
    이 ws2help.dllx 파일과 tmp파일을 지우면되나요?

    • 파일 확장자명이 변형된 파일은 모두 삭제하시면 됩니다.

      아니면 백신 프로그램으로 다시 정밀 검사를 해보시면 제거가 되실 겁니다.

  • 2012.01.10 12:22 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다
    겨우 치료완료햇네요 헠..