주말을 기점으로 활발하게 유포가 이루어지고 있는 온라인 게임 계정 탈취 목적의 악성코드는 일반적으로 Windows XP 운영 체제에서는 시스템 파일(imm32.dll, ws2help.dll, wshtcpip.dll 등)을 패치하는 방식을 이용하여 치료에 많은 어려움이 발생하고 있습니다.
▷ <ASEC Blog> Windows Vista, 7 사용자를 대상으로 감염시키는 온라인 게임핵 악성코드 발견 (2012.2.27)
이에 반하여 Windows Vista와 Windows 7 운영 체제에서는 강화된 보안 기능으로 인하여 시스템 파일 패치 방식으로는 감염이 이루어지지 않고 있으며, 안랩(AhnLab) 정보에 따르면 2012년 2월 하순경부터 Windows Vista와 Windows 7 운영 체제에서도 감염이 이루어지는 사례를 확인할 수 있습니다.
그 동안 블로그에서는 Windows XP 운영 체제를 중심으로 감염과 관련된 분석 내용을 공개하였고, Windows Vista와 Windows 7 운영 체제 사용자의 경우 감염으로 인한 해결 방법을 한 번도 소개하지 않았습니다.
▷ 톡플레이어(TokPlayer) 설치 파일 변조를 통한 온라인 게임 악성코드 유포 주의 (2012.6.3)
이에 따라 최근 동영상 재생 프로그램을 이용한 악성코드 감염이 발생한 Windows 7 운영 체제에서의 문제 해결 방법에 대해 간략하게 소개해 드리도록 하겠습니다.
해당 악성코드에 대한 기본적인 정보는 Windows XP 운영 체제에서 확인된 분석 정보를 참고하시기 바라며, Windows 7 운영 체제에서 감염된 이후의 수동 해결 방법을 중심으로 살펴보도록 하겠습니다.
C:\Windows\System32\HIMYM.DLL
- MD5 : 046e136b6ef54a466d3c50243543d9a8
- AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 20/42)
C:\Windows\System32\V3LiveRun.exe
- MD5 : 2f3c2370f0dea2bb23087a4be3d21f3e
- AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 14/42)
Windows 7 운영 체제에서는 Windows XP 환경과는 달리 ws2help.dll 시스템 파일 패치가 아닌 "C:\Windows\System32\HIMYM.DLL" 악성 파일을 시스템 폴더에 생성하여 다양한 프로세스에 인젝션(Injection)하는 방식으로 정보를 수집합니다.
또한 Windows 시작시 AhnLab V3 보안 제품 파일로 위장한 "C:\Windows\System32\V3LiveRun.exe" 파일을 시작 프로그램에 등록하여 매번 특정 서버에서 XOR 암호화된 i.gif 파일을 받아와 임시 폴더에 파일을 생성하여 감염 여부를 체크하는 동작을 확인할 수 있습니다.
이를 통해 사용자가 특정 온라인 게임 및 모니터링 되는 특정 프로세스(Raycity.exe, heroes.exe, WinBaram.exe, wow.exe, ff2client.exe, lin.bin, MapleStory.exe, iexplore.exe)가 동작시 HIMYM.DLL 파일을 추가하여 정보 탈취를 시도합니다.
실제 넷마블(netmarble.net) 웹 사이트에 Internet Explorer 웹 브라우저를 통해 접속 후 로그인을 시도할 경우 아이디(ID), 비밀번호를 수집하여 미국(USA)에 위치한 kr.prcsm.info(204.45.159.227) 서버로 전송하는 동작을 확인할 수 있습니다.
그렇다면 Windows 7 운영 체제에서 감염으로 인하여 보안 제품의 기능을 상실하여 문제를 해결할 수 없는 경우 어떻게 수동으로 문제를 해결할 수 있는지 살펴보도록 하겠습니다.
(1) "C:\Windows\System32\V3LiveRun.exe" 파일을 삭제하시기 바랍니다.
파일 삭제시 "파일 액세스 거부됨" 메시지 창을 통해 관리자 권한을 요구하므로 "계속" 버튼을 클릭하여 삭제를 진행하시기 바랍니다.
(2) "C:\Windows\System32\HIMYM.DLL" 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : HIMYM.DLL-Malware)
HIMYM.DLL 악성 파일을 삭제 시도할 경우 다양한 프로세스에 추가되어 있는 관계로 삭제를 할 수 없으므로 다음과 같은 방식으로 문제를 해결하시기 바랍니다.
그림과 같이 HIMYM.DLL 파일을 선택하여 "이름 바꾸기" 메뉴를 통해 파일 확장자명을 HIMYM.DLL-Malware와 같은 형태로 변경한 후 "파일 액세스 거부됨" 메시지 창이 생성되면 "계속" 버튼을 클릭하시기 바랍니다.
(3) 레지스트리 편집기(regedit)를 관리자 권한으로 실행하여 다음의 레지스트리 값을 삭제 및 수정하시기 바랍니다.
- Disker = rundll32.exe C:\Windows\system32\HIMYM.DLL,DW
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- AhnLab V3Lite Update Process = C:\Windows\system32\V3LiveRun.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Help
- Help Version = rrrYjhbbvyYdiajXdYbda
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- AppInit_DLLs = (공란) :: 변경 전
- AppInit_DLLs = HIMYM.DLL :: 변경 후
- LoadAppInit_DLLs = 0 :: 변경 전
- LoadAppInit_DLLs = 1 :: 변경 후
참고로 "변경 후" 값은 반드시 "변경 전" 값으로 수정하시기 바라며, "AppInit_DLLs" 값은 입력된 내용(HIMYM.DLL)을 제거하시고 키 값을 삭제하지 마시기 바랍니다.
만약 파일만 삭제하고 레지스트리 값을 삭제하지 않은 상태에서 시스템 재부팅을 진행할 경우에는 RunDLL 창을 생성하여 "C:\Windows\System32\HIMYM.DLL을(를) 시작하는 동안 문제가 발생했습니다. 지정된 모듈을 찾을 수 없습니다."라는 경고창이 생성되는 동작을 확인할 수 있습니다.
특히 일부 백신 프로그램에서 치료시 파일만 치료하고 레지스트리 값을 제거하지 않는 경우가 있을 수 있으므로 사용자가 수동으로 관련 레지스트리 값을 찾아 제거하시기 바랍니다.
(4) 시스템 재부팅 후 파일 확장자명을 변경한 "C:\Windows\System32\HIMYM.DLL-Malware" 파일을 찾아 수동으로 삭제해 주시기 바랍니다.
모든 절차가 완료된 후에는 기존에 사용하는 백신 프로그램을을 재실행하여 최신 업데이트를 진행한 후 정밀 검사를 통해 추가적인 악성코드가 있는지 확인하시는 것이 중요합니다.
일반적으로 악성코드는 운영 체제에 따라 감염 파일의 위치나 파일명 등이 달라질 수 있으며, 이번 감염과 같이 특정 보안 취약점이 아닌 정상적인 소프트웨어를 통해서도 유포가 이루어질 수 있으므로 백신 프로그램의 실시간 감시 기능을 항상 켜시고 인터넷을 이용하시기 바랍니다.