주말마다 해킹된 웹 사이트 변조를 통해 온라인 게임 계정 정보를 탈취할 목적으로 유포가 이루어지는 방식이 최근 정상적인 소프트웨어의 설치 파일을 변조하는 방식으로 배포되고 있는 것이 확인되었습니다.
이번에 확인된 소프트웨어는 톡플레이어(TokPlayer) 홈 페이지에 등록된 동영상 재생 프로그램 설치 파일 중 32비트용 설치 파일을 변조하여 설치시 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일 패치를 통한 악의적인 동작이 이루어집니다.(※ 현재 글 작성 시점에서 여전히 유포가 이루어지고 있으므로 호기심에 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.)
설치 파일을 비교해보면 우측의 정상적인 64비트 톡플레이어(TokPlayer) 설치 파일은 디지털 서명이 포함되어 있는 반면, 좌측의 변조된 32비트 톡플레이어(TokPlayer) 설치 파일은 디지털 서명이 존재하지 않는 것을 알 수 있습니다.
참고로 해당 변조된 설치 파일(MD5 : 2f3c2370f0dea2bb23087a4be3d21f3e)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 12/42) 진단명으로 진단되고 있습니다.
사용자가 다운로드된 악성 파일을 실행할 경우 네이버(Naver) 서버에 쿼리를 전송하여 인터넷 연결 여부를 체크하며, 유포자의 소스포지(sourceforge.net) 특정 계정에 연결하여 카운터(Counter) 또는 버전 체크 기능을 수행하는 것으로 추정됩니다.
그 후 특정 서버에서 XOR 암호화된 i.gif 파일(MD5 : 2af983a918930ed0992aa4928a446d54)을 다운로드하는 동작을 확인할 수 있으며, Kaspersky 보안 제품에서는 Trojan-GameThief.Win32.Magania.hbjg (VirusTotal : 15/42) 진단명으로 진단되고 있습니다.
다운로드된 파일은 복호화되어 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더에 임의의 파일을 생성하여 실행되며 다음과 같은 순서로 감염이 이루어집니다.
① 정상적인 ws2help.dll 기능을 수행하는 "C:\WINDOWS\system32\ws2helpXP.dll" 파일 생성 ② ws2help.dll 시스템 파일의 이름을 ws2help.dll.(3자리 영문+숫자).tmp 패턴으로 변경한 후 악성 파일로 패치 ③ 안랩(AhnLab) V3 보안 제품의 파일처럼 위장한 "C:\WINDOWS\system32\V3LiveRun.exe" 파일을 생성하여 시작 프로그램에 자신을 등록합니다.
C:\WINDOWS\system32\V3LiveRun.exe
- MD5 : 2f3c2370f0dea2bb23087a4be3d21f3e
- AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 12/42)
C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기(19,968 Bytes) / 변경 후 파일 크기(42,652 Bytes)
- MD5 : 046e136b6ef54a466d3c50243543d9a8
- Hauri ViRobot : Trojan.Win32.PatchedDll.C (VirusTotal : 15/41)
C:\WINDOWS\system32\ws2help.dll.VPJ.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.
C:\WINDOWS\system32\ws2helpXP.dll :: ws2help.dll 백업 파일(정상 파일)
감염된 환경에서 Windows 시작시마다 "C:\WINDOWS\system32\V3LiveRun.exe" 파일을 시작 프로그램에 등록하여 자동 실행되며, 실행된 파일은 네이버(Naver) 쿼리 전송 및 유포자의 소스포지(sourceforge.net) 특정 계정에 연결을 시도하는 동작을 확인할 수 있습니다.
동작 방식을 살펴보면 사용자가 특정 온라인 게임 웹 사이트 접속 및 온라인 게임 실행시 계정 정보(아이디(ID), 비밀번호, OTP 등)를 수집하여 특정 서버로 전송이 이루어지도록 제작되어 있습니다.
- gamehi.co.kr
- hangame.com
- netmarble.net
- pmang.com
- df.nexon.com
또한 Raycity.exe, heroes.exe, WinBaram.exe, wow.exe, ff2client.exe, lin.bin, MapleStory.exe, iexplore.exe 프로세스를 모니터링하여 계정 정보를 수집하는 동작이 있을 수 있습니다.
- sgbider.exe
- vcsvcc.exe
- vcsvc.exe
- NVCAgent.npc
- nsvmon.npc
- Nsavsvc.npc
- NaverAgent.exe
- V3LRun.exe
- MUpdate2.exe
- AYUpdSrv.aye
- AYRTSrv.aye
- SkyMon.exe
- SgSvc.exe
- V3Light.exe
- V3LTray.exe
- SystemMon.exe
- AYServiceNT.aye
- AYupdate.aye
- AyAgent.aye
- V3LSvc.exe
그 외 국내 인터넷 사용자가 많이 사용하는 보안 제품(AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine), 안랩 사이트가드(AhnLab SiteGuard) 등)의 프로세스 동작을 방해하여 자신을 진단하지 못하도록 AVKiller 기능을 수행합니다.
실제 한게임(Hangame) 웹 사이트 접속시 로그인 과정에서 계정 정보가 외부로 유출되는 부분을 확인해보면 미국(USA)에 위치한 kr.prcsm.info(204.45.159.227) 서버로 전송되는 것을 확인할 수 있습니다.
해당 악성코드 감염으로 인해 보안 제품을 통한 치료가 어려울 경우에는 다음과 같은 방법으로 문제를 해결하시기 바라며, 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.
(1) "C:\WINDOWS\system32\V3LiveRun.exe" 파일을 삭제하시기 바랍니다.
(2) "C:\WINDOWS\system32\ws2help.dll" 악성 시스템 파일의 확장자명을 변경하시기 바랍니다.(※ 예시 : ws2help.dll-Malware)
ws2help.dll 악성 시스템 파일의 확장자명을 변경한 후 윈도우 탐색기를 다시 실행하여 파일을 확인해보면, 윈도우 파일 보호(WFP) 기능을 통해 그림과 같이 정상적인 ws2help.dll(녹색) 시스템 파일이 복원된 것을 확인할 수 있습니다.
만약 ws2help.dll 파일이 복원되지 않은 상태에서 시스템 재부팅을 시도할 경우 블루 스크린(BSoD) 생성으로 윈도우에 진입하지 못할 수 있으므로 반드시 파일 생성을 확인하시기 바랍니다.
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.
- AhnLab V3Lite Update Process = C:\WINDOWS\system32\V3LiveRun.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Help
- Help Version = rrrYjhbbvyYdiajXdYbda
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- AppInit_DLLs = (공란) :: 변경 전
- AppInit_DLLs = ws2help.dll :: 변경 후
참고로 레지스트리 값 중에서 "변경 후" 값은 "변경 전" 값으로 수정을 하시기 바라며 "AppInit_DLLs" 값을 삭제하지 마시기 바랍니다.
(4) 시스템 재부팅을 한 후 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp
- C:\WINDOWS\system32\ws2helpXP.dll
- C:\WINDOWS\system32\ws2help.dll-Malware
모든 절차가 완료된 후에는 동작하지 않는 보안 제품을 실행하면 정상적인 동작이 이루어지며, 최신 업데이트를 하시고 시스템 정밀 검사를 추가적으로 진행하시기 바랍니다.
이번 사례와 같이 온라인 게임 악성코드 유포 방식이 정상적인 소프트웨어 홈 페이지에 등록된 설치 파일을 변조시켜 감염을 유발하는 방식으로도 변화가 이루어지고 있으므로 반드시 보안 제품의 실시간 감시를 켜시고 인터넷을 이용하시기 바랍니다.
▷ KMPlayer 설치 파일 변조를 통한 백도어 감염 주의 (2011.11.27)
또한 예전에도 비슷한 사례로 KMPlayer 동영상 재생 프로그램의 공식 설치 파일 변조를 통한 악성코드 유포가 확인된 적이 있으므로 안전을 위해서는 진단률 좋은 백신 프로그램을 사용하시길 권장합니다.