본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램을 이용한 온라인 게임 악성코드 유포 주의 (2012.3.12)

최근 국내 공개 자료실 방식으로 운영되는 서버에서 제공하는 소프트웨어를 다운로드하는 과정에서 추가적인 제휴(스폰서) 프로그램에 등록된 특정 "인터넷 통계" 프로그램을 통해 한게임(Hangame), 피망(PMang) 등을 노리는 악성코드를 설치하는 악의적 행위를 확인하였습니다.

  광고 프로그램 속에 숨어있는 온라인 게임 악성코드 유포 사례 (2011.7.22)

이렇게 설치된 악성 프로그램은 과거에도 광고 프로그램을 통해 설치하였던 사례가 있으며, 이번 역시 한게임 돋보기와 같은 화면 훔쳐보기 수법을 통해 금전적 수익을 노리는 것으로 추정되므로 참고하시기 바랍니다.

현재까지 확인된 해당 악성 파일의 설치 파일은 총 7종으로 유포지가 다수 존재할 것으로 보이며, 설치 파일에 대한 정보는 다음과 같습니다.
  1. MD5 : 23f18de49fb814be2c430c76291bc7a8
  2. MD5 : 450fc3ccbf4a4b0c2b5b5602941e7b0e
  3. MD5 : 49a955a07bccbf7ba9fc3c90839a3e69
  4. MD5 : da2b5e33acefe5c530bfcd0e376c4539
  5. MD5 : 2ac8f3f588e42c4df2ccaf1c4df755da
  6. MD5 : fe5f51ce024caa766aee391ef88f4559
  7. MD5 : a156b127e7fcc2728a5050d5a2653226

해당 악성 파일의 특징은 인증 기관으로부터 해지된 "YNK JAPAN Inc" 일본 게임 회사에서 유출된 것으로 보이는 디지털 인증서를 사용하고 있다는 점이며, 설치 파일에 대하여 avast! 보안 제품에서는 Win32:FileInfector-A [Heur] 또는 Sophos 엔진에서 Mal/Krap-D (VirusTotal : 14/43) 진단명으로 진단되고 있습니다.(※ 알약(ALYac) 보안 제품에서는 Trojan.Downloader.Krap.IEHost 진단명으로 진단됩니다.)


[생성 파일 및 진단 정보]

C:\WINDOWS\IETimes.txt
C:\WINDOWS\system32\IEHost2Services.dll :: 숨김(H) 속성 / IEHost2Services 서비스 등록 파일

사용자의 동의 과정을 거쳐서 설치된 제휴(스폰서) 프로그램은 시스템 폴더에 숨김(H) 속성 값을 가지는 75MB 용량의 IEHost2Services.dll (MD5 : 1697373D1501E2D1D2E6B73045391BD4) 파일을 생성하며, 해당 파일에 대하여 Microsoft 보안 제품에서는 TrojanDownloader:Win32/Hostisver.A (VirusTotal : 8/43), 알약(ALYac) 보안 제품에서는 Trojan.Downloader.Krap.IEHost 진단명으로 진단되고 있습니다.

생성된 IEHost2Services.dll 파일은 "IEHost2Services" 항목을 서비스에 등록하여 Windows 시작시 자동으로 실행되도록 구성되어 있습니다.

GET /up.txt HTTP/1.1
User-Agent: Mozilla/4.0 (compatible)
Host: ******.gicp.net
Cache-Control: no-cache

등록된 서비스는 시스템 시작시 특정 서버에 접속하여 up.txt 파일을 체크하는 동작이 있습니다.

또한 svchost.exe 프로세스에 IEHost2Services.dll 파일을 등록하여 국내 특정 IP 서버(222.122.66.240:6173)와 연결을 하는 동작을 확인할 수 있습니다.

C:\WINDOWS\system32\IEHost2Services.dll

IEHost2Services.dll 파일을 살펴보면 "poker7.exe, hoola3.exe, laspoker.exe, highlow2.exe, duelpoker.exe, baduki.exe, egui.exe" 프로세스를 모니터링 하는 기능이 존재하며, egui.exe 프로세스의 경우 해외 보안 제품 ESET NOD32 입니다.

참고로 ESET NOD32 보안 제품이 설치된 환경에서는 백신 무력화 기능이 포함되어 있을 것으로 보입니다.

감염된 환경에서 사용자가 한게임(Hangame) 사이트에 접속하여 로그인을 시도할 경우 추가적인 f.exe(MD5 : 11560f7a878c2252567577d87b053055) 파일을 국내 특정 서버(211.55.29.9:80 / ciygqnn.vicp.net)에서 다운로드하여 실행하는 동작을 확인할 수 있습니다.

해당 f.exe 파일에 대하여 Dr.Web 보안 제품에서는 Trojan.PWS.Wow.2122 (VirusTotal : 18/43) 진단명으로 진단되고 있습니다.

또한 그 외에 서버에 등록되어 있는 악성 파일에 대한 정보는 다음과 같습니다.

  1. MD5 : ec9990974beb44c4edead57e61341488 - Kaspersky : Trojan.Win32.Genome.addkr (VirusTotal : 13/43)
  2. MD5 : 219b9266b6cd7267bd941bbcfcee25e6 - Dr.Web : Trojan.DownLoad3.2038 (VirusTotal : 14/43)

추가 다운로드를 통해 감염된 시스템은 다음과 같은 악성 파일을 생성하는 동작을 확인할 수 있습니다.


[생성 파일 / 진단 정보]

C:\WINDOWS\IEHost2.txt
C:\WINDOWS\system32\97597921.dll :: 숨김(H) 속성 / 97597921 서비스 등록 파일

추가적으로 생성된 97597921.dll (MD5 : 2C9C2A9673B94E1D9C451DDD9B627703) 파일은 숨김(H) 속성 값을 가지며, 비정상적인 100MB 용량으로 표시가 되어 있는 것이 특징입니다.

참고로 해당 파일에 대하여 Microsoft 보안 제품에서는 Backdoor:Win32/PcClient.ZR (VirusTotal : 5/43), 알약(ALYac) 보안 제품에서는 Backdoor.PcClient.gen 진단명으로 진단되고 있습니다.

생성된 97597921.dll 파일 역시 "97597921" 항목을 서비스에 등록하여 Windows 시작시 자동으로 실행되도록 구성되어 있습니다.

이렇게 추가 감염된 환경에서 svchost.exe 프로세스에 97597921.dll 파일을 추가하여 중국(China)에 위치한 C&C 서버(112.226.251.129:1307 / cool1307.gicp.net)와 연결을 유지하는 동작을 확인할 수 있습니다.

해당 악성코드는 "pmangagent.exe, poker7.exe, hoola3.exe, laspoker.exe, highlow2.exe, duelpoker.exe, baduki.exe" 게임 프로세스를 모니터링하여 상대방 화면을 훔쳐보는 방식으로 게임을 조작할 것으로 추정됩니다.

참고로 이전에 소개한 유포 사례에서 확인된 C&C 서버(cool2305.gicp.net)와 이번에 사용되는 C&C 서버(cool1307.gicp.net)의 이름이 유사하다는 점에서 기존의 사이버 범죄자들이 아닌가 의심이 됩니다.

해당 악성 파일에 감염된 경우에는 우선적으로 폴더 옵션 기본값 중 "숨김 파일 및 폴더" 항목에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 한 상태에서 윈도우 탐새기를 통해 숨김(H) 속성의 dll 파일을 찾아 보시기 바랍니다.

만약 감염된 환경이라면 보안 제품을 이용한 정밀 검사 또는 다음과 같은 방식으로 수동으로 문제를 해결할 수 있습니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

(1) 실행창에 다음과 같은 2가지 명령어를 이용하여 실행 중인 서비스를 중지합니다.

  1. sc stop "IEHost2Services"
  2. sc stop "97597921"

(2) 윈도우 탐색기를 이용하여 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\IEHost2.txt
  • C:\WINDOWS\IETimes.txt
  • C:\WINDOWS\system32\97597921.dll
  • C:\WINDOWS\system32\IEHost2Services.dll

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 수동으로 삭제하시기 바랍니다.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - 97597921 = 97597921
 - IEHost2Services = IEHost2Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_97597921
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_IEHOST2SERVICES
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\97597921
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IEHost2Services


이외에도 다른 파일명으로 감염이 있을 수 있으므로 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바랍니다.

이번 사례와 같이 광고 프로그램을 배포할 목적으로 운영되는 공개 자료실을 이용할 경우 사용자 동의 과정을 통해서 악성 파일을 배포하는 경우도 존재하므로 소프트웨어를 다운로드할 때에는 반드시 제작사 홈페이지나 국내 포털 사이트에서 운영하는 공개 자료실을 이용하시기 바랍니다.