주말마다 온라인 게임 악성코드 유포처 중 단골 손님 중에 한 곳인 D 커뮤니티 사이트를 통해 유포되는 악성 파일 중 온라인 게임 계정 정보 수집용 이외에 백도어(Backdoor) 기능을 하는 악성 파일을 추가로 감염시키는 사례를 확인하였습니다.

특히 이번 감염시에는 호스트(Host) 파일을 변조시켜 AhnLab V3, 알약(ALYac) 업데이트 서버를 차단하는 기능까지 포함되어 있습니다.

해당 악성코드 감염의 원인은 윈도우(Windows), Adobe Flash Player, Oracle JRE 프로그램이 최신 보안 업데이트가 적용되지 않은 환경에서 유포 웹 사이트에 접속시 자동으로 감염될 수 있습니다.

이를 통해 java6.exe 파일(MD5 : 1906040e4de05cae696336298d98bdc1)을 다운로드하여 실행하며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Agent (VirusTotal : 29/43) 진단명으로 진단되고 있습니다.

해당 파일은 추가적으로 1.exe, 1ex.exe 2개의 파일을 다운로드하는 드랍퍼(Dropper) 기능을 가지고 있으며, 각각의 파일의 기능은 다음과 같습니다.

① 1.exe (MD5 : f9e6162c5107a3531307442f6933ef88) 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\bluesky.exe" 파일로 생성되어, ws2help.dll 시스템 파일 패치와 ws2help.dll 파일 기능을 하는 ws2helpXP.dll 정상 파일을 생성합니다.

참고로 해당 파일에 대하여 Microsoft 보안 제품에서는 PWS:Win32/OnLineGames.LH (VirusTotal : 18/43) 진단명으로 진단되고 있습니다.

② 1ex.exe (MD5 : b6b85885a6c1a616b95388979a682bec) 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\redsky.exe" 파일로 생성되어, UpgradeHelper32.exe 파일(자가 복제) 생성, 서비스 등록, 호스트(Host) 파일 변조, Windows 방화벽에 자신을 제외 처리하도록 되어 있습니다.

참고로 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Dropper.Agent.48733 (VirusTotal : 29/43) 진단명으로 진단되고 있습니다.

[생성 / 변경 파일 및 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\redsky.exe :: 숨김(H) 속성 폴더
 - MD5 : b6b85885a6c1a616b95388979a682bec
 - Hauri ViRobot : Dropper.Agent.48733 (VirusTotal : 29/43)

C:\WINDOWS\UpgradeHelper32.exe
 - MD5 : MD5 : b6b85885a6c1a616b95388979a682bec
 - Hauri ViRobot : Dropper.Agent.48733 (VirusTotal : 29/43)

C:\WINDOWS\system32\drivers\etc\hosts :: 호스트(Host) 파일 변조

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 (19,968 Bytes) / 변경 후 파일 크기 (143,360 Bytes)
 - MD5 : 335b9e9f19a72426e347853feab7c8e7
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 18/43)

C:\WINDOWS\system32\ws2help.dll.PfJ.tmp :: 정상 ws2help.dll 백업 파일
※ 해당 파일은 ws2help.dll.(3자리 영문).tmp 형태입니다.

C:\WINDOWS\system32\ws2helpXP.dll :: 정상 ws2help 시스템 파일

1. bluesky.exe 악성 파일 기능

bluesky.exe 파일은 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일의 기능을 담당할 "C:\WINDOWS\system32\ws2helpXP.dll" 파일을 생성한 후, ws2help.dll 시스템 파일을 백업한 후 악성 ws2help.dll 파일로 패치를 합니다.

해당 감염을 통해 악성 파일로 패치된 ws2help.dll 파일은 다음과 같은 온라인 게임을 대상으로 정보 수집을 하도록 제작되어 있습니다.
◆ 온라인 게임 사이트 : hangame.com, netmarble.net, pmang.com, df.nexon.com, heroes.nexon.com, baram.nexon.com 등

◆ 온라인 게임 감시 프로세스 : fairyclient.exe, x2.exe, NGM.exe, wow.exe, TERA.exe, ExLauncher.exe, ff2client.exe, lin.bin, MapleStory.exe (※ iexplore.exe)
또한 다음의 보안 프로그램 프로세스의 동작을 방해하여 자신의 동작을 보호하고 있습니다.
◆ 바이러스 체이서(Virus Chaser) : sgbider.exe, vcsvcc.exe, vcsvc.exe

◆ AhnLab V3 & SiteGuard : V3LRun.exe, MUpdate2.exe, SgSvc.exe, V3Light.exe, V3LTray.exe, V3LSvc.exe

◆ 네이버 백신(Naver Vaccine) : NVCAgent.npc, nsvmon.npc, Nsavsvc.npc, NaverAgent.exe

◆ 알약(ALYac) : AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

※ 기타 : SkyMon.exe, SystemMon.exe
2. redsky.exe 악성 파일

redsky.exe 파일은 "C:\WINDOWS\UpgradeHelper32.exe" 파일을 생성하여 서비스에 "WinTime_32(Windows Time Services)" 항목으로 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.

그 후 "C:\WINDOWS\system32\drivers\etc\hosts" 호스트(Host) 파일을 수정하여 AhnLab V3, 알약(ALYac) 업데이트 서버를 차단하여 업데이트를 하지 못하도록 합니다.

또한 Windows 방화벽에 "Windows Update Service" 이름으로 등록하여 "C:\WINDOWS\UpgradeHelper32.exe" 파일을 예외 처리하여 외부 통신을 차단하지 않도록 합니다.
이렇게 감염된 환경이 구축된 경우 시스템 시작시 서비스로 등록된 UpgradeHelper32.exe 파일은 자동으로 실행된 후, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 국내 특정 IP(112.175.245.42:7621)로 연결되는 동작을 확인할 수 있습니다.

또한 iexplore.exe 프로세스에 추가된 악성 ws2help.dll 파일을 통해 사용자가 특정 온라인 게임 웹 사이트에 접속하여 로그인을 시도할 경우 정보가 유출되는 동작을 확인할 수 있습니다.

(예) 한게임(Hangame) 로그인

예를 들어 한게임(Hangame) 접속을 통해 로그인을 시도할 경우 미국(USA)에 등록된 wa7box.com(173.208.168.34) 서버로 계정 정보(아이디(ID), 비밀번호 등)가 전송되는 것을 확인할 수 있습니다.

서비스에 등록된 UpgradeHelper32.exe 파일은 국내 anti.fire6.net(112.175.245.42:7621) C&C 원격 서버와 연결을 유지하며, PCRat을 통한 원격 제어로 추가적인 정보 유출 등의 악의적 동작이 이루어질 수 있습니다.

해당 악성코드에 감염된 경우 수동으로 문제 해결을 원하시는 분들은 다음과 같은 절차에 따라 진행하시기 바라며, 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.

(1) WinTime_32(Windows Time Services) 서비스 중지하기

"시작 → 실행" 창에 [sc stop "WinTime_32"] 명령어를 실행하여 서비스를 중지하시기 바랍니다.

(2) 다음의 파일을 찾아 삭제하시기 바랍니다.
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\redsky.exe
  • C:\WINDOWS\UpgradeHelper32.exe

참고로 폴더 옵션에서 ""숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 하시고 파일을 찾으시기 바랍니다.

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제(또는 수정)하시기 바랍니다.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
 - AppInit_DLLs = :: 변경 전
 - AppInit_DLLs = ws2help.dll :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINTIME_32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
 - C:\WINDOWS\UpgradeHelper32.exe = C:\WINDOWS\UpgradeHelper32.exe:*:Enabled:Windows Update Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinTime_32

"변경 후" 값은 "변경 전" 값으로 수정하시기 바랍니다.

(4) "C:\WINDOWS\system32\drivers\etc\hosts" 호스트(Host) 파일을 메모장으로 열어 내용을 모두 삭제하고 다음의 내용을 복사하여 넣은 후 저장하시기 바랍니다.

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost

참고로 메모장으로 호스트 파일을 열 때 반드시 파일 형식을 "텍스트 문서 → 모든 파일"로 변경을 하시고 호스트 파일을 찾으시기 바랍니다.

(5) "C:\WINDOWS\system32\ws2help.dll" 파일 확장자를 변경하시기 바랍니다.(※ 예시 : ws2help.dll → ws2help.dll-Patched)

ws2help.dll 파일 확장자를 변경하면 윈도우 파일 보호(WFP) 기능을 통해 자동으로 ws2help.dll 시스템 파일이 복원되므로, 반드시 해당 파일이 복원되었는지 확인하시기 바랍니다.

만약 ws2help.dll 파일이 그림과 같이 복원되지 않은 상태에서 시스템 재부팅을 할 경우 블루 스크린(BSoD) 생성으로 인한 무한 재부팅 현상이 발생합니다.

(6) 시스템 재부팅 후 다음의 파일을 찾아 삭제하시기 바랍니다.
  • C:\WINDOWS\system32\ws2help.dll.(Random).tmp
  • C:\WINDOWS\system32\ws2help.dll-Patched
  • C:\WINDOWS\system32\ws2helpXP.dll
모든 조치가 완료된 후에는 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 추가로 하시기 바라며, 해당 악성코드 감염으로부터 근본적으로 감염되지 않는 방법은 윈도우, Adobe Flash Player, Oracle JRE 제품을 최신 버전으로 업데이트를 하시는 것입니다.

이번 사례의 경우 단순히 특정 온라인 게임 사용자에게만 피해가 발생하는 것이 아니라 PCRat 해킹툴에 의해 좀비PC가 될 수 있다는 점에서 감염되지 않도록 주의하시기 바랍니다.
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..