본문 바로가기

벌새::Analysis

톡플레이어(TokPlayer) 설치 파일 변조를 통한 온라인 게임 악성코드 유포 주의 (2012.6.3)

주말마다 해킹된 웹 사이트 변조를 통해 온라인 게임 계정 정보를 탈취할 목적으로 유포가 이루어지는 방식이 최근 정상적인 소프트웨어의 설치 파일을 변조하는 방식으로 배포되고 있는 것이 확인되었습니다.

이번에 확인된 소프트웨어는 톡플레이어(TokPlayer) 홈 페이지에 등록된 동영상 재생 프로그램 설치 파일 중 32비트용 설치 파일을 변조하여 설치시 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일 패치를 통한 악의적인 동작이 이루어집니다.(※ 현재 글 작성 시점에서 여전히 유포가 이루어지고 있으므로 호기심에 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.) 

설치 파일을 비교해보면 우측의 정상적인 64비트 톡플레이어(TokPlayer) 설치 파일은 디지털 서명이 포함되어 있는 반면, 좌측의 변조된 32비트 톡플레이어(TokPlayer) 설치 파일은 디지털 서명이 존재하지 않는 것을 알 수 있습니다.

 

참고로 해당 변조된 설치 파일(MD5 : 2f3c2370f0dea2bb23087a4be3d21f3e)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 12/42) 진단명으로 진단되고 있습니다. 

사용자가 다운로드된 악성 파일을 실행할 경우 네이버(Naver) 서버에 쿼리를 전송하여 인터넷 연결 여부를 체크하며, 유포자의 소스포지(sourceforge.net) 특정 계정에 연결하여 카운터(Counter) 또는 버전 체크 기능을 수행하는 것으로 추정됩니다.

 

그 후 특정 서버에서 XOR 암호화된 i.gif 파일(MD5 : 2af983a918930ed0992aa4928a446d54)을 다운로드하는 동작을 확인할 수 있으며, Kaspersky 보안 제품에서는 Trojan-GameThief.Win32.Magania.hbjg (VirusTotal : 15/42) 진단명으로 진단되고 있습니다.

 

다운로드된 파일은 복호화되어 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더에 임의의 파일을 생성하여 실행되며 다음과 같은 순서로 감염이 이루어집니다.

 

① 정상적인 ws2help.dll 기능을 수행하는 "C:\WINDOWS\system32\ws2helpXP.dll" 파일 생성 ② ws2help.dll 시스템 파일의 이름을 ws2help.dll.(3자리 영문+숫자).tmp 패턴으로 변경한 후 악성 파일로 패치 ③ 안랩(AhnLab) V3 보안 제품의 파일처럼 위장한 "C:\WINDOWS\system32\V3LiveRun.exe" 파일을 생성하여 시작 프로그램에 자신을 등록합니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\V3LiveRun.exe
 - MD5 : 2f3c2370f0dea2bb23087a4be3d21f3e
 - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 12/42)

 

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기(19,968 Bytes) / 변경 후 파일 크기(42,652 Bytes)
 - MD5 : 046e136b6ef54a466d3c50243543d9a8
 - Hauri ViRobot : Trojan.Win32.PatchedDll.C (VirusTotal : 15/41)

 

C:\WINDOWS\system32\ws2help.dll.VPJ.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.

 

C:\WINDOWS\system32\ws2helpXP.dll :: ws2help.dll 백업 파일(정상 파일)

감염된 환경에서 Windows 시작시마다 "C:\WINDOWS\system32\V3LiveRun.exe" 파일을 시작 프로그램에 등록하여 자동 실행되며, 실행된 파일은 네이버(Naver) 쿼리 전송 및 유포자의 소스포지(sourceforge.net) 특정 계정에 연결을 시도하는 동작을 확인할 수 있습니다.

 

동작 방식을 살펴보면 사용자가 특정 온라인 게임 웹 사이트 접속 및 온라인 게임 실행시 계정 정보(아이디(ID), 비밀번호, OTP 등)를 수집하여 특정 서버로 전송이 이루어지도록 제작되어 있습니다.

 

  • gamehi.co.kr
  • hangame.com
  • netmarble.net
  • pmang.com
  • df.nexon.com

또한 Raycity.exe, heroes.exe, WinBaram.exe, wow.exe, ff2client.exe, lin.bin, MapleStory.exe, iexplore.exe 프로세스를 모니터링하여 계정 정보를 수집하는 동작이 있을 수 있습니다.

 

  • sgbider.exe
  • vcsvcc.exe
  • vcsvc.exe
  • NVCAgent.npc
  • nsvmon.npc
  • Nsavsvc.npc
  • NaverAgent.exe
  • V3LRun.exe
  • MUpdate2.exe
  • AYUpdSrv.aye
  • AYRTSrv.aye
  • SkyMon.exe
  • SgSvc.exe
  • V3Light.exe
  • V3LTray.exe
  • SystemMon.exe
  • AYServiceNT.aye
  • AYupdate.aye
  • AyAgent.aye
  • V3LSvc.exe

그 외 국내 인터넷 사용자가 많이 사용하는 보안 제품(AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine), 안랩 사이트가드(AhnLab SiteGuard) 등)의 프로세스 동작을 방해하여 자신을 진단하지 못하도록 AVKiller 기능을 수행합니다. 

실제 한게임(Hangame) 웹 사이트 접속시 로그인 과정에서 계정 정보가 외부로 유출되는 부분을 확인해보면 미국(USA)에 위치한 kr.prcsm.info(204.45.159.227) 서버로 전송되는 것을 확인할 수 있습니다.

 

해당 악성코드 감염으로 인해 보안 제품을 통한 치료가 어려울 경우에는 다음과 같은 방법으로 문제를 해결하시기 바라며, 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.

 

(1) "C:\WINDOWS\system32\V3LiveRun.exe" 파일을 삭제하시기 바랍니다.

 

(2) "C:\WINDOWS\system32\ws2help.dll" 악성 시스템 파일의 확장자명을 변경하시기 바랍니다.(※ 예시 : ws2help.dll-Malware) 

ws2help.dll 악성 시스템 파일의 확장자명을 변경한 후 윈도우 탐색기를 다시 실행하여 파일을 확인해보면, 윈도우 파일 보호(WFP) 기능을 통해 그림과 같이 정상적인 ws2help.dll(녹색) 시스템 파일이 복원된 것을 확인할 수 있습니다.

 

만약 ws2help.dll 파일이 복원되지 않은 상태에서 시스템 재부팅을 시도할 경우 블루 스크린(BSoD) 생성으로 윈도우에 진입하지 못할 수 있으므로 반드시 파일 생성을 확인하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - AhnLab V3Lite Update Process = C:\WINDOWS\system32\V3LiveRun.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Help
 - Help Version = rrrYjhbbvyYdiajXdYbda
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
 - AppInit_DLLs = (공란) :: 변경 전
 - AppInit_DLLs = ws2help.dll :: 변경 후

 

참고로 레지스트리 값 중에서 "변경 후" 값은 "변경 전" 값으로 수정을 하시기 바라며 "AppInit_DLLs" 값을 삭제하지 마시기 바랍니다.

 

(4) 시스템 재부팅을 한 후 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp
  • C:\WINDOWS\system32\ws2helpXP.dll
  • C:\WINDOWS\system32\ws2help.dll-Malware

모든 절차가 완료된 후에는 동작하지 않는 보안 제품을 실행하면 정상적인 동작이 이루어지며, 최신 업데이트를 하시고 시스템 정밀 검사를 추가적으로 진행하시기 바랍니다.

 

이번 사례와 같이 온라인 게임 악성코드 유포 방식이 정상적인 소프트웨어 홈 페이지에 등록된 설치 파일을 변조시켜 감염을 유발하는 방식으로도 변화가 이루어지고 있으므로 반드시 보안 제품의 실시간 감시를 켜시고 인터넷을 이용하시기 바랍니다.

 

  KMPlayer 설치 파일 변조를 통한 백도어 감염 주의 (2011.11.27)

 

또한 예전에도 비슷한 사례로 KMPlayer 동영상 재생 프로그램의 공식 설치 파일 변조를 통한 악성코드 유포가 확인된 적이 있으므로 안전을 위해서는 진단률 좋은 백신 프로그램을 사용하시길 권장합니다.

  • root 2012.06.03 17:35 댓글주소 수정/삭제 댓글쓰기

    이제 다운로드가 막혔군요..

  • 톡플레이어가 그리 유명한 플레이어도 아닌데... 보안 챙기기가 갈수록 어렵습니다.

  • host1110 2012.06.03 20:52 댓글주소 수정/삭제 댓글쓰기

    제가 이해를잘못하겠는부분이있는데 전 노턴360을 쓰고있어요.근데 톡플레이어 업데이트뜨길래 업뎃했더니 업뎃중에 노턴에서 바이러스발견어쩌구 난리가나더니 그뒤로 부팅만했다하면 블루스크린후 무한재부팅...아마 작성해주신 소중한정보에의하면 ws2help.dll이 파일이 변경돼서 그런거같은데 ws2help.dll.@%#.tmp 이런식으로 변경돼있는파일이 원래 ws2help.dll파일이었던 건가요?해킹툴에서 설치한파일이 아니고?

    • 원래 정상적인 파일명은 ws2help.dll 파일이고, 감염 과정에서 해당 파일을 말씀처럼 다른 형태로 변경합니다.

      그러므로 감염된 환경에서는 악성으로 변경된 ws2help.dll 파일을 다시 정상적인 ws2help.dll 파일로 복원하기 위해서 제가 확장자 변경 방식을 추천하는 것입니다.

      이 방법은 백신에서도 활용하는 방식이며, 윈도우에서도 이런 방식으로 복원하도록 백업 파일을 따로 있습니다.

  • 1231231 2012.06.04 02:42 댓글주소 수정/삭제 댓글쓰기

    저도 오늘 톡플 쓰다가 업뎃 하라고 나오길래 이상하다 생각은 했는데
    걍 업뎃 해보니.. 바로 노턴에서 바이러스 감지 하더군요 himym.dll 요넘을
    윈7 같은 경우엔 ws2help 말고 himym.dll 요넘을 만드는 듯 합니다.

    노턴에서 himym.dll 알아서 지우고 레지도 정리 했는데...
    인터넷 속도가 이상하게 느려서 보니깐 V3LiveRun.exe 요넘 때문이더군요...

    암튼 V3LiveRun.exe 이거 지우고 했는데
    이제 별 문제 없겠죠?

    • 윈도우7 환경은 보안이 강화된 관계로 시스템 파일(ws2help.dll)을 패치하지 못합니다.

      그래서 보통 악성 dll 파일을 생성해서 iexplore.exe 프로세스와 같은 영역에 인젝션해서 악의적인 동작을 합니다.

      윈도우7 감염에 대한 부분도 한 번 살펴봐야겠군요.

      네.. V3LiveRun.exe 파일은 악성이므로 삭제하시면 되며, himym.dll 파일도 노턴에서 제거했다면 탐색기를 통해 실제 삭제되었는지 확인해 보시기 바랍니다.

    • 답변 감사합니다. ㅎㅎ
      벌새님이 말씀하신대로 탐색기에서 실제로 확인도 해봤는데
      다행히도 himym.dll 이 없었습니다.

      포멧한지 일주일도 안되어서... 다시 포멧 하려니 귀찮기도 하고
      했는데 이글 보고 제대로 처리도 한듯 싶고

      암튼 다시 한번 감사드려요 ^^

  • host1110 2012.06.05 05:15 댓글주소 수정/삭제 댓글쓰기

    작성하신 글덕분에 제대로 대처할수있었어요 고맙심더
    이글못봤더라면 용산에하드들고가서 포맷해버릴뻔했습니다.다시한번 땡큐땡큐
    굳쟙 감사하믜다~!

  • dfqj 2012.06.05 10:46 댓글주소 수정/삭제 댓글쓰기

    톡플레이어 받아야되는데... 3일째 못받고 있다는..