본문 바로가기

벌새::Analysis

ahnurl.sys + olesau32.dll 파일을 이용한 온라인 게임 악성코드 유포 주의 (2012.3.17)

반응형
이번 주말을 이용한 중국발 온라인 게임 계정 정보를 수집하는 악성 파일 유포 중 루트킷(Rootkit) 방식으로 감염되어 자신을 보호할 목적으로 5초 간격으로 악성 파일을 복구하는 방식이 확인이 되었습니다.

현재 언론사 사이트를 통해 유포 중인 것으로 확인이 되고 있으며 최종 파일(MD5 : 583cc2f86f03ac02891bb70fc1bcc434)을 이용하여 감염으로 인하여 백신 프로그램의 치료가 어려운 경우 수동으로 문제를 해결할 수 있는 방법을 살펴보도록 하겠습니다.

참고로 해당 최종 설치 파일에 대해서는 알약(ALYac) 보안 제품에서 Trojan.Dropper.OnlineGames.au32 (VirusTotal : 3/42) 진단명으로 진단되고 있습니다.

MD5 : 583cc2f86f03ac02891bb70fc1bcc434

또한 최종 파일은 "Tencent Technology(Shenzhen) Company Limited" 디지털 서명이 포함되어 있는 것이 특징입니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\version.dat
C:\WINDOWS\winurl.dat

C:\WINDOWS\olesau32.dll
 - MD5 : 1e64f28c076c8db5216efdaa04a6e5cb
 - 알약(ALYac) : Spyware.OnlineGames.au32 (VirusTotal : 11/42), avast! : Win32:OnLineGames-GGI [Trj]

C:\WINDOWS\system32\drivers\ahnurl.sys
 - MD5 : f386663eb8a0bf17ad4bb89d7ff4992c
 - AhnLab V3 : Win-Trojan/Rootkit.28928.B (VirusTotal : 5/43), 알약(ALYac) : Trojan.Rootkit.LoaderA

C:\WINDOWS\system32\olesau32.dll
 - MD5 : 1e64f28c076c8db5216efdaa04a6e5cb
 - 알약(ALYac) : Spyware.OnlineGames.au32 (VirusTotal : 11/42), avast! : Win32:OnLineGames-GGI [Trj]

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AHNURL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnurl

해당 악성 파일은 윈도우 탐색기를 이용해서는 파일을 찾을 수 없는 루트킷(Rootkit) 방식으로 등록되어 있으며, 감염시 알약(ALYac), AhnLab V3, 네이버 백신(Naver Vaccine) 보안 제품의 자체 보호 기능이 비활성화 상태인 경우 백신 프로그램이 삭제되거나 비정상적인 동작을 할 수 있습니다.

감염이 성공적으로 이루어지면 일정 시간 경과 후 홍콩(HongKong)에 위치한 ovyba.com(112.121.187.4) 서버로 설치 정보를 전송하는 것으로 보입니다.

감염된 상태에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 "C:\WINDOWS\system32\olesau32.dll" 악성 파일을 추가하여 다음과 같은 악의적인 기능을 담당합니다.

참고로 "C:\WINDOWS\system32\olesau32.dll" 파일의 경우에도 "Sogou.com" 디지털 인증서를 포함하고 있는 것을 확인할 수 있습니다.
◆ 온라인 게임 목록 : 리니지(Lineage), 메이플스토리(MapleStory), 던전 앤 파이터(DNF), 피망(PMang), 한게임(Hangame), 넷마블(NetMarble) 등
(예) 한게임(Hangame) 로그인 시도시

사용자가 국내 특정 온라인 게임에 접속하여 로그인을 시도할 경우 관련 계정 정보(아이디(ID), 비밀번호 등)가 외부로 전송되는 것을 확인할 수 있습니다.

문제는 해당 악성 파일을 사용자가 수동으로 삭제를 하려고 할 경우 5초 단위로 자신을 쓰기(Write)하는 자체 보호 기능으로 인하여 삭제된 파일이 재생성되는 것을 확인할 수 있었습니다.

그러므로 윈도우 정상 모드에서는 수동으로 삭제가 불가능하며, 안전 모드로 접속하여 수동 삭제를 진행하시기 바랍니다.

(1) 루트킷(Rootkit) 진단 프로그램 GMER 프로그램을 다운로드합니다.

(2) 컴퓨터 전원을 넣고 F8 기능키를 연타로 눌러 시스템 시작시 안전 모드로 접속합니다.

Windows 고급 옵션 메뉴 선택 화면에서 방향키를 이용하여 "안전 모드"를 선택하시기 바랍니다.

다음 단계에서 시작할 운영 체제를 선택하여 Enter 키를 클릭하시기 바랍니다.

다음 단계에서는 안전 모드로 작업을 진행하기 위하여 "예" 버튼을 클릭하시기 바랍니다.

(3) 다운로드한 GMER 프로그램을 실행하여 다음의 절차에 따라 악성 파일을 삭제하시기 바랍니다.

"Services" 탭을 선택하여 "ahnurl - Auto - \??\C:\WINDOWS\system32\drivers\ahnurl.sys" 항목을 선택한 후, 마우스 우클릭을 통해 생성된 하위 메뉴 중 "Delete ..." 값을 선택하여 등록된 서비스를 삭제하시기 바랍니다.

삭제를 진행하면 그림과 같은 "C:\WINDOWS\system32\drivers\ahnurl.sys" 파일을 삭제할 것인지 묻는 창이 생성되므로 "예" 버튼을 클릭하시기 바랍니다.

"Files" 탭으로 이동하여 "C:\WINDOWS, C:\WINDOWS\system32" 폴더에서 각각 olesau32.dll 파일을 찾아 선택하신 후, 우측의 "Delete" 버튼을 클릭하여 파일을 삭제하시기 바랍니다.

(4) GMER 프로그램을 종료한 후 시스템 재부팅을 통해 정상 모드로 윈도우에 진입하여 다음의 파일을 추가적으로 삭제하시기 바랍니다.
  • C:\WINDOWS\version.dat
  • C:\WINDOWS\winurl.dat

모든 작업이 완료된 후에는 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 통해 추가적인 검사를 하시는 것이 안전합니다.

해당 악성 파일에 감염된 사용자 PC는 윈도우 보안 업데이트, Adobe Flash Player, Oracle Java 프로그램이 최신 버전이 아닌 환경에서 유포 사이트에 접속하여 자동으로 감염되었으므로 반드시 모든 보안 업데이트를 최신으로 유지하시고 인터넷을 이용하시기 바랍니다.

728x90
반응형
  • 이전 댓글 더보기
  • alsp 2012.03.18 08:09 댓글주소 수정/삭제 댓글쓰기

    다크서클의 압박과 피곤으로 컴터와 씨름하는 중에..
    정말 감사합니다.
    사랑합니다~!!!^^
    v3, 하우리..보다 우월하신 분 !!^^

  • Max 2012.03.18 12:22 댓글주소 수정/삭제 댓글쓰기

    c000021a Unknown Hardware Error <- 이것때문에 고생이 많았는데 하드를 다른컴에 연결해보니 바이러스가 있더라고요. 이 글 보고 한번 따라해봤는데 해결 되길 바래야죠 ^^ 좋은 글 감사합니다.

  • 감사합니당 2012.03.19 11:47 댓글주소 수정/삭제 댓글쓰기

    아.. 계속 1초단위로 백신프로그램(avg를 사용)이 잡아내고 있는데.. 안전모드에서 시도해봐야 겠어요.. 감사합니다^^

  • 행인 2012.03.21 22:12 댓글주소 수정/삭제 댓글쓰기

    감사합니다
    저같은 경우도 v3로 지웠는데 계속 나타나길래 안전모드통해 지웠는데
    olesau파일은 없더군요..
    일단은 도움 잘 받았습니다
    근데 마지막에
    C:\WINDOWS\version.dat
    C:\WINDOWS\winurl.dat 이파일들은 어떤파일들인가요?

    • 우선 파일명이 해당 게시글 작성 이후에 변경되었을 수도 있으므로 안전모드에서 해결하신 후 윈도우로 정상 진입하여 정밀 검사를 주기적으로 하시기 바랍니다.

      그리고 dat 파일은 감염시 유포자가 중복 감염을 방지하기 위해 체크하는 악성 파일 버전 정보 파일입니다.

      마지막으로 해당 악성 파일 감염 원인이 보안 패치 미설치로 인한 문제이므로 반드시 최신 버전을 사용하시기 바랍니다.

  • ysk 2012.03.24 00:17 댓글주소 수정/삭제 댓글쓰기

    제가 정신없이 인터넷하다가 걸려서 어디서 걸렸나했는데 언론사 사이트라고 글에 써있는거보니까 맞는거같아요.. KBS콩 깔던중에 실행?뭐 이런경고창 같은게 뜨고난다음에 실행누르고 15분?정도 있다가 블루스크린 떴거든요..... ㅠ.ㅠ 포맷해야될줄 알았는데 인터넷여기저기서 모은 정보들로 지김 지워가고있어요

  • 2012.03.24 03:54 댓글주소 수정/삭제 댓글쓰기

    감사합니다!!!

  • 강원구 2012.03.25 13:15 댓글주소 수정/삭제 댓글쓰기

    아 감사합니다. 하루통째로 날렸는데 님 덕분에 간신히 복구했네요 ㅠ 정말 감사합니다. 꾸벅

  • 고마워요 2012.03.25 18:57 댓글주소 수정/삭제 댓글쓰기

    고맙습니다.ㅜㅜ 저 컴퓨터 진짜 심하게 초짠데 너무 도움 많이 받았어요 애정합니다 벌새님 진짜루.ㅜㅜ 으잉 진짜 너무너무너무 고마워요오! 이것때문에 너무 골머리를 앓아서 진짜 애정고백할 기셐ㅋㅋㅋ 농담 그건 안하구옄ㅋㅋㅋ 저 태어나서 처음으로 안전모드 들어가봤고요(그게 뭔지도 몰랐어요!ㅋㅋㅋ) 하여튼 다 처음해보는거였어요. 제겐 완전 모험. 사실 C:\WINDOWS\version.dat <-이게 무슨말인지도 모르는데...ㅋㅋㅋ 용케 해냈어요 악 나 자신에게도 칭찬을!!! 여튼 때려맞춰서 열심히 했습니다 덕분에 살았어요! 근데 저 인터넷으로 이거 깔린 상태에서 결제했었는데 괜찮겠... ...ㅜㅜ? 어쨌든 지웠으니까... 앞으로 자주자주 들르겠습니다.ㅋㅋㅋㅋ

    • 아무것도 모른 상태에서 해결하셨다니 다행입니다.

      해당 악성 파일은 온라인 게임을 중심으로 정보를 수집하지 금융권은 아닙니다.

      만약을 위해 백신으로 정밀 검사를 하시기 바라며, 반드시 윈도우 등 보안 업데이트를 하시기 바랍니다.

  • 태꿀 2012.03.26 09:06 댓글주소 수정/삭제 댓글쓰기

    우와우! 알약이 실행안되길래 여기저기 찾았는데 olesau32 요넘이 문제더라구요.
    치료 따라해보니 정말로 곳곳에 떡하니 숨어있네요! 이제 알약도 제대로 실행이되고!
    감사합니다!

  • 감사합니다람쥐 2012.03.31 02:16 댓글주소 수정/삭제 댓글쓰기

    정말감사합니다 ㅜㅜ
    일주일동안 많은일이잇엇내요
    던파해킹당해서 p2p사이트 때문인줄알고 삭제하다 무선랜카드 드라이버삭제 해서 usb로드라이버다운받으려는데 누나가친구 빌려주는바람에
    똥컴 으로겜하다가 공유기에다하면 되겟다싶어서본체를 똥컴이랑바꾼다음 무선랜카드깔고
    원상복귀한다음에 인터넷 뒤져서 게임핵등다안대다가 삼성화재에서 악성코드 찾기 까지는댓는데치료 누르면팅겨서 힘들어하고잇엇는데 찾은악성코드 스마트폰으로쳐서 이블로그와서 폰으로 보면서 이렇게 고쳣내요 비록겜 복구는안댓지만감사합니다 어차피 얼마안대는돈이고 답변이복구할서버 말안해서안해줫내용 다시 겜하고잇구요다시복구신청하면 이때까지 다시모은거 사라질수잇대서 복구안하려구요 담당자도 매크로답변도아니엇음 오타도 두개나잇고 암튼정말정말감사합니다

  • 김1 2012.03.31 17:53 댓글주소 수정/삭제 댓글쓰기

    말씀해주신대로 안전모드로 지우고 3일 있다가 또 뜨네요
    또 그래서 지우고 또 지워도 계속 3일 정도 지나니까 계속 또 뜨네요 ㅠㅠ
    흑흑 ㅠㅠ

    • 이 문제는 단순히 악성 파일을 제거한다고 해결되는게 아닙니다.

      글 맨 하단에서도 언급했지만 "해당 악성 파일에 감염된 사용자 PC는 윈도우 보안 업데이트, Adobe Flash Player, Oracle Java 프로그램이 최신 버전이 아닌 환경에서 유포 사이트에 접속하여 자동으로 감염되었으므로 반드시 모든 보안 업데이트를 최신으로 유지하시고 인터넷을 이용하시기 바랍니다." 이 내용대로 보안 업데이트를 하지 않는 경우에는 매번 반복적으로 감염됩니다.

  • 오늘 이거 걸려서 포맷했습니다. 2012.03.31 22:56 댓글주소 수정/삭제 댓글쓰기

    지울려면 확실히 지우셔야 합니다. 여러분들.
    저는 레지스트리 부분은 보지 못하여 파일들만 지우고 레지스트리 안 건드리고 재부팅하니까 이 놈의 컴퓨터가 전혀 부팅조차 되지를 않았습니다. 결국엔 포맷.
    생성 레지스트리 등록 정보에 있는 이 놈도 같이 지우세요. 위에랑 똑같이 하고 시작프로그램만 건드리지 않았는데 부팅이 안되고 자꾸만 ole이 파일이 없습니다 하고 컴퓨터 부팅조차 못하게 만들었더군요. 안전모드도 전혀 안먹히고요. 뭐 이런 X같은 바이러스가 다 있는지 모르겠습니다.

  • 우왕 2012.04.01 13:50 댓글주소 수정/삭제 댓글쓰기

    우와...윗분도 제대로 걸리셨네요. 저도 사연이 긴데요. 이거 감염됐을때 젤먼저 생긴 증상이 네이버툴바 이상->알약구동중지였어요. 툴바가 이상할때부터 막바로 조치들어갔으니 망정이지 아니었으면 저도 포맷갈뻔 했습니다 ㅎㄷㄷ 원천파일은 물론 레지스트리까지 지워도 사흘지나니 다시 생성되더이다 ㅜㅜ 결국 gmer이라는 저 파일을 써볼참입니다. 그리고 요놈이 익스플로러 관련 프로세스에 주로 기생하는 거 같아서 이참에 크롬으로 바꾸려고요 ㅠㅠ 어쨌든 귀한 정보 정말 고맙습니다 ㅠㅠ 힘내서 마지막까지 어떻든 없애볼게요 ㅠㅠ 제가 겪은 바이러스중 최악질이네요 루트킷이라니 ㅠㅠ

  • 지나가던이 2012.04.06 23:28 댓글주소 수정/삭제 댓글쓰기

    감사합니다 ^^ 이거보고 해결했네요 ㅋㅋ

  • 근데요ㅠㅠ 2012.05.24 17:04 댓글주소 수정/삭제 댓글쓰기

    마지막에
    레지스트리랑 다 지우고 난뒤
    국내 외 백신으로 치료하시라고 하셨잖아요ㅜㅜ
    근데
    막 v3 8.0같은 유료백신으로 치료해도 안되나요?ㅠㅠ

  • michaelweon 2012.06.12 00:24 댓글주소 수정/삭제 댓글쓰기

    아....님꺼보고 안전모드에서 검색중 갑자기 컴퓨터가 먹통이됐어요 왜그럴까요..ㅜㅜ 알약이 안되길래 안전모드에서V3검색하니까 저 바이러스 파일들이 나오더라고요..ㅜㅜ 아 컴터 전원이 먹지를 않아요..ㅜㅜ

  • 하이윌 2012.06.13 21:21 댓글주소 수정/삭제 댓글쓰기

    이미지에서 Follow TCP stream 이 프로그램은 무엇을 하는 프로그램인가요?

    보아하니, 컴퓨터에서 일어나는 일들을 뭐... 보고 하는 프로그램같은데,

    저도 하나 갖고싶네요.

    그리고 그 프로그램 창에 입력되는 것들은 말로만 듣던 C언어인가요?

    C언어 배우고싶네요.

    • 해당 프로그램은 네트워크로 연결되어 동작하는 패킷을 감시해 주는 공개된 소프트웨어입니다.

      WireShark로 검색해 보시면 금새 아실 수 있습니다.^^

  • 피해자 2012.12.25 18:25 댓글주소 수정/삭제 댓글쓰기

    아... 결국 이 파일2개가 원인이었군요 자꾸 V3백신이 꺼지고

    자동으로 삭제됬었는데 뭔가 석연치 않아서 V3 GameHackKill 받아서

    검색했는데 2개가 뜨네요

    좋은정보 감사합니다.

  • 123 2013.07.02 21:08 댓글주소 수정/삭제 댓글쓰기

    감사합니다 우연히 카스퍼스키깔아서 백신검사하다가 발견했녜요
    정말 감사합니다!

  • 코난사랑 2014.02.17 01:02 댓글주소 수정/삭제 댓글쓰기

    주인장님 답변부탁드립니다. 저는 ahnurl 이것이 아니라 ahnurla 이것만 있었습니다. 뒤에 +a 가 더붙었더라구요..

    그래서 이거인가? 하고 삭제를하려했는데, 워링이 뜨면서 위험하다는 경고 표시가뜨면서 정말 삭제할거냐고 묻는 창이 떴습니다.

    이건 아닌거같아서 , 삭제를안했습니다, 컴퓨터 잘못될까봐서요.

    뒤에서 a가붙은 이건뭐죠? 위에처럼 그냥,,지울거냐는 창이 아니라,

    워링! 경고 위험이 떠서 지울수가없었어요. 답변부탁드려요,,해결좀,,ㅠㅠ

    • 해당 파일이 악성인지 여부는 https://www.virustotal.com/ 사이트에 파일을 업로드하시면 국내외 백신 검사를 자동으로 해서 결과를 알려줍니다.