본문 바로가기

벌새::Analysis

ahnurl.sys + olesau32.dll 파일을 이용한 온라인 게임 악성코드 유포 주의 (2012.3.17)

반응형
이번 주말을 이용한 중국발 온라인 게임 계정 정보를 수집하는 악성 파일 유포 중 루트킷(Rootkit) 방식으로 감염되어 자신을 보호할 목적으로 5초 간격으로 악성 파일을 복구하는 방식이 확인이 되었습니다.

현재 언론사 사이트를 통해 유포 중인 것으로 확인이 되고 있으며 최종 파일(MD5 : 583cc2f86f03ac02891bb70fc1bcc434)을 이용하여 감염으로 인하여 백신 프로그램의 치료가 어려운 경우 수동으로 문제를 해결할 수 있는 방법을 살펴보도록 하겠습니다.

참고로 해당 최종 설치 파일에 대해서는 알약(ALYac) 보안 제품에서 Trojan.Dropper.OnlineGames.au32 (VirusTotal : 3/42) 진단명으로 진단되고 있습니다.

MD5 : 583cc2f86f03ac02891bb70fc1bcc434

또한 최종 파일은 "Tencent Technology(Shenzhen) Company Limited" 디지털 서명이 포함되어 있는 것이 특징입니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\version.dat
C:\WINDOWS\winurl.dat

C:\WINDOWS\olesau32.dll
 - MD5 : 1e64f28c076c8db5216efdaa04a6e5cb
 - 알약(ALYac) : Spyware.OnlineGames.au32 (VirusTotal : 11/42), avast! : Win32:OnLineGames-GGI [Trj]

C:\WINDOWS\system32\drivers\ahnurl.sys
 - MD5 : f386663eb8a0bf17ad4bb89d7ff4992c
 - AhnLab V3 : Win-Trojan/Rootkit.28928.B (VirusTotal : 5/43), 알약(ALYac) : Trojan.Rootkit.LoaderA

C:\WINDOWS\system32\olesau32.dll
 - MD5 : 1e64f28c076c8db5216efdaa04a6e5cb
 - 알약(ALYac) : Spyware.OnlineGames.au32 (VirusTotal : 11/42), avast! : Win32:OnLineGames-GGI [Trj]

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AHNURL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnurl

해당 악성 파일은 윈도우 탐색기를 이용해서는 파일을 찾을 수 없는 루트킷(Rootkit) 방식으로 등록되어 있으며, 감염시 알약(ALYac), AhnLab V3, 네이버 백신(Naver Vaccine) 보안 제품의 자체 보호 기능이 비활성화 상태인 경우 백신 프로그램이 삭제되거나 비정상적인 동작을 할 수 있습니다.

감염이 성공적으로 이루어지면 일정 시간 경과 후 홍콩(HongKong)에 위치한 ovyba.com(112.121.187.4) 서버로 설치 정보를 전송하는 것으로 보입니다.

감염된 상태에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 "C:\WINDOWS\system32\olesau32.dll" 악성 파일을 추가하여 다음과 같은 악의적인 기능을 담당합니다.

참고로 "C:\WINDOWS\system32\olesau32.dll" 파일의 경우에도 "Sogou.com" 디지털 인증서를 포함하고 있는 것을 확인할 수 있습니다.
◆ 온라인 게임 목록 : 리니지(Lineage), 메이플스토리(MapleStory), 던전 앤 파이터(DNF), 피망(PMang), 한게임(Hangame), 넷마블(NetMarble) 등
(예) 한게임(Hangame) 로그인 시도시

사용자가 국내 특정 온라인 게임에 접속하여 로그인을 시도할 경우 관련 계정 정보(아이디(ID), 비밀번호 등)가 외부로 전송되는 것을 확인할 수 있습니다.

문제는 해당 악성 파일을 사용자가 수동으로 삭제를 하려고 할 경우 5초 단위로 자신을 쓰기(Write)하는 자체 보호 기능으로 인하여 삭제된 파일이 재생성되는 것을 확인할 수 있었습니다.

그러므로 윈도우 정상 모드에서는 수동으로 삭제가 불가능하며, 안전 모드로 접속하여 수동 삭제를 진행하시기 바랍니다.

(1) 루트킷(Rootkit) 진단 프로그램 GMER 프로그램을 다운로드합니다.

(2) 컴퓨터 전원을 넣고 F8 기능키를 연타로 눌러 시스템 시작시 안전 모드로 접속합니다.

Windows 고급 옵션 메뉴 선택 화면에서 방향키를 이용하여 "안전 모드"를 선택하시기 바랍니다.

다음 단계에서 시작할 운영 체제를 선택하여 Enter 키를 클릭하시기 바랍니다.

다음 단계에서는 안전 모드로 작업을 진행하기 위하여 "예" 버튼을 클릭하시기 바랍니다.

(3) 다운로드한 GMER 프로그램을 실행하여 다음의 절차에 따라 악성 파일을 삭제하시기 바랍니다.

"Services" 탭을 선택하여 "ahnurl - Auto - \??\C:\WINDOWS\system32\drivers\ahnurl.sys" 항목을 선택한 후, 마우스 우클릭을 통해 생성된 하위 메뉴 중 "Delete ..." 값을 선택하여 등록된 서비스를 삭제하시기 바랍니다.

삭제를 진행하면 그림과 같은 "C:\WINDOWS\system32\drivers\ahnurl.sys" 파일을 삭제할 것인지 묻는 창이 생성되므로 "예" 버튼을 클릭하시기 바랍니다.

"Files" 탭으로 이동하여 "C:\WINDOWS, C:\WINDOWS\system32" 폴더에서 각각 olesau32.dll 파일을 찾아 선택하신 후, 우측의 "Delete" 버튼을 클릭하여 파일을 삭제하시기 바랍니다.

(4) GMER 프로그램을 종료한 후 시스템 재부팅을 통해 정상 모드로 윈도우에 진입하여 다음의 파일을 추가적으로 삭제하시기 바랍니다.
  • C:\WINDOWS\version.dat
  • C:\WINDOWS\winurl.dat

모든 작업이 완료된 후에는 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 통해 추가적인 검사를 하시는 것이 안전합니다.

해당 악성 파일에 감염된 사용자 PC는 윈도우 보안 업데이트, Adobe Flash Player, Oracle Java 프로그램이 최신 버전이 아닌 환경에서 유포 사이트에 접속하여 자동으로 감염되었으므로 반드시 모든 보안 업데이트를 최신으로 유지하시고 인터넷을 이용하시기 바랍니다.

728x90
반응형