본문 바로가기

벌새::Analysis

HIMYM.DLL, V3LiveRun.exe 파일을 이용한 온라인 게임 악성코드 유포 주의 (Windows 7)

주말을 기점으로 활발하게 유포가 이루어지고 있는 온라인 게임 계정 탈취 목적의 악성코드는 일반적으로 Windows XP 운영 체제에서는 시스템 파일(imm32.dll, ws2help.dll, wshtcpip.dll 등)을 패치하는 방식을 이용하여 치료에 많은 어려움이 발생하고 있습니다.

 

  <ASEC Blog> Windows Vista, 7 사용자를 대상으로 감염시키는 온라인 게임핵 악성코드 발견 (2012.2.27)

 

이에 반하여 Windows Vista와 Windows 7 운영 체제에서는 강화된 보안 기능으로 인하여 시스템 파일 패치 방식으로는 감염이 이루어지지 않고 있으며, 안랩(AhnLab) 정보에 따르면 2012년 2월 하순경부터 Windows Vista와 Windows 7 운영 체제에서도 감염이 이루어지는 사례를 확인할 수 있습니다.

 

그 동안 블로그에서는 Windows XP 운영 체제를 중심으로 감염과 관련된 분석 내용을 공개하였고, Windows Vista와 Windows 7 운영 체제 사용자의 경우 감염으로 인한 해결 방법을 한 번도 소개하지 않았습니다.

 

  톡플레이어(TokPlayer) 설치 파일 변조를 통한 온라인 게임 악성코드 유포 주의 (2012.6.3)

 

이에 따라 최근 동영상 재생 프로그램을 이용한 악성코드 감염이 발생한 Windows 7 운영 체제에서의 문제 해결 방법에 대해 간략하게 소개해 드리도록 하겠습니다.

 

해당 악성코드에 대한 기본적인 정보는 Windows XP 운영 체제에서 확인된 분석 정보를 참고하시기 바라며, Windows 7 운영 체제에서 감염된 이후의 수동 해결 방법을 중심으로 살펴보도록 하겠습니다.

 

[생성 파일 및 진단 정보]

 

C:\Windows\System32\HIMYM.DLL
 - MD5 : 046e136b6ef54a466d3c50243543d9a8
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 20/42)

 

C:\Windows\System32\V3LiveRun.exe
 - MD5 : 2f3c2370f0dea2bb23087a4be3d21f3e
 - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 14/42)

 

Windows 7 운영 체제에서는 Windows XP 환경과는 달리 ws2help.dll 시스템 파일 패치가 아닌 "C:\Windows\System32\HIMYM.DLL" 악성 파일을 시스템 폴더에 생성하여 다양한 프로세스에 인젝션(Injection)하는 방식으로 정보를 수집합니다. 

또한 Windows 시작시 AhnLab V3 보안 제품 파일로 위장한 "C:\Windows\System32\V3LiveRun.exe" 파일을 시작 프로그램에 등록하여 매번 특정 서버에서 XOR 암호화된 i.gif 파일을 받아와 임시 폴더에 파일을 생성하여 감염 여부를 체크하는 동작을 확인할 수 있습니다.

 

이를 통해 사용자가 특정 온라인 게임 및 모니터링 되는 특정 프로세스(Raycity.exe, heroes.exe, WinBaram.exe, wow.exe, ff2client.exe, lin.bin, MapleStory.exe, iexplore.exe)가 동작시 HIMYM.DLL 파일을 추가하여 정보 탈취를 시도합니다. 

실제 넷마블(netmarble.net) 웹 사이트에 Internet Explorer 웹 브라우저를 통해 접속 후 로그인을 시도할 경우 아이디(ID), 비밀번호를 수집하여 미국(USA)에 위치한 kr.prcsm.info(204.45.159.227) 서버로 전송하는 동작을 확인할 수 있습니다.

 

그렇다면 Windows 7 운영 체제에서 감염으로 인하여 보안 제품의 기능을 상실하여 문제를 해결할 수 없는 경우 어떻게 수동으로 문제를 해결할 수 있는지 살펴보도록 하겠습니다.

 

(1) "C:\Windows\System32\V3LiveRun.exe" 파일을 삭제하시기 바랍니다. 

파일 삭제시 "파일 액세스 거부됨" 메시지 창을 통해 관리자 권한을 요구하므로 "계속" 버튼을 클릭하여 삭제를 진행하시기 바랍니다.

 

(2) "C:\Windows\System32\HIMYM.DLL" 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : HIMYM.DLL-Malware) 

HIMYM.DLL 악성 파일을 삭제 시도할 경우 다양한 프로세스에 추가되어 있는 관계로 삭제를 할 수 없으므로 다음과 같은 방식으로 문제를 해결하시기 바랍니다. 

그림과 같이 HIMYM.DLL 파일을 선택하여 "이름 바꾸기" 메뉴를 통해 파일 확장자명을 HIMYM.DLL-Malware와 같은 형태로 변경한 후 "파일 액세스 거부됨" 메시지 창이 생성되면 "계속" 버튼을 클릭하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 관리자 권한으로 실행하여 다음의 레지스트리 값을 삭제 및 수정하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Disker = rundll32.exe C:\Windows\system32\HIMYM.DLL,DW
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - AhnLab V3Lite Update Process = C:\Windows\system32\V3LiveRun.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Help
 - Help Version = rrrYjhbbvyYdiajXdYbda
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
 - AppInit_DLLs = (공란) :: 변경 전
 - AppInit_DLLs = HIMYM.DLL :: 변경 후
 - LoadAppInit_DLLs = 0 :: 변경 전
 - LoadAppInit_DLLs = 1 :: 변경 후

 

 

참고로 "변경 후" 값은 반드시 "변경 전" 값으로 수정하시기 바라며, "AppInit_DLLs" 값은 입력된 내용(HIMYM.DLL)을 제거하시고 키 값을 삭제하지 마시기 바랍니다. 

만약 파일만 삭제하고 레지스트리 값을 삭제하지 않은 상태에서 시스템 재부팅을 진행할 경우에는 RunDLL 창을 생성하여 "C:\Windows\System32\HIMYM.DLL을(를) 시작하는 동안 문제가 발생했습니다. 지정된 모듈을 찾을 수 없습니다."라는 경고창이 생성되는 동작을 확인할 수 있습니다.

 

특히 일부 백신 프로그램에서 치료시 파일만 치료하고 레지스트리 값을 제거하지 않는 경우가 있을 수 있으므로 사용자가 수동으로 관련 레지스트리 값을 찾아 제거하시기 바랍니다.

 

(4) 시스템 재부팅 후 파일 확장자명을 변경한 "C:\Windows\System32\HIMYM.DLL-Malware" 파일을 찾아 수동으로 삭제해 주시기 바랍니다.

 

모든 절차가 완료된 후에는 기존에 사용하는 백신 프로그램을을 재실행하여 최신 업데이트를 진행한 후 정밀 검사를 통해 추가적인 악성코드가 있는지 확인하시는 것이 중요합니다.

 

일반적으로 악성코드는 운영 체제에 따라 감염 파일의 위치나 파일명 등이 달라질 수 있으며, 이번 감염과 같이 특정 보안 취약점이 아닌 정상적인 소프트웨어를 통해서도 유포가 이루어질 수 있으므로 백신 프로그램의 실시간 감시 기능을 항상 켜시고 인터넷을 이용하시기 바랍니다.

  • 윈도우7 관련 글도 올리셨네요.
    본문에 나온 레지 부분도 찾아서 들어가보니 없거나 변경전 값으로 되어 있었습니다.

    그나저나 이런 글을 어찌 작성하시는건가요? 직접 실험해보시는 건가요?
    암튼 능력자 시네요 ㅎ

    주기적으로 요기 와서 관련 정보 보고 가야 겠습니다.
    컴도 정말 조심히 써야 겠네요 ㄷㄷ

  • root 2012.06.04 16:32 댓글주소 수정/삭제 댓글쓰기

    좋은정보감사합니다^^
    이제는 윈도우7도 안전하지 않군요..
    윈도우8의보안이 기대되는한편,또 창과방패의 싸움이기에 금방뚫리지않을까..생각해봅니다.
    그나저나 첫번째 사진에 분석할떄쓰신 와이어샤크밑에있는 프로그램은 무엇인가요??

  • root 2012.06.05 08:57 댓글주소 수정/삭제 댓글쓰기

    우와~!역시 벌새님!정말 감사합니다~^^
    잘쓸게요 ㅎㅎ
    정말 편리한 프로그램 이군요.

  • 리플리히 2012.06.30 18:16 댓글주소 수정/삭제 댓글쓰기

    윈7에 카스퍼스키 인터넷 시큐리티 2012쓰고 있는데요 저것들 감염되기전에 생성을 막는 방법은 없나요?? 글에는 생성됬을때 치료하는법만 쓰여있어서요. 디아블로를 하는데 OTP를 쓰는데도 불구하고 여기저기서 해킹을 당했다는 말들이 있어서 불안합니다..

    • 이런 유포 방식의 악성코드는 백신이 무엇이냐에 관계없이 근본적으로 예방할 수 있습니다.

      사용자가 이용하시는 윈도우 보안 업데이트를 모두 최신으로 항상 유지하시고, Adobe Flash Player, Oracle Java 프로그램이 설치되어 있는 환경에서는 반드시 최신 버전을 이용하시는 겁니다.

      이런 환경에서는 악성 파일이 자동으로 감염시키는 웹 사이트에 접속하여도 백신에서 진단되는 여부와 상관없이 감염 자체가 이루어지지 않습니다.

  • Null Boy 2013.05.26 11:52 댓글주소 수정/삭제 댓글쓰기

    요즘은 갈수록 교묘해져서 시스템 경로가 아니라 %appdata% 주변에도 알을 까네요.
    시스템계정컨트롤을 물어볼때 경로를 확인한다음 그 경로로 가보니 해당파일이 떡하니 있더라는... ㅡㅡ;;

    그래서 주변폴더들을 알약으로 정밀검사해보니 이제서야 잡아주네요.
    프로세스 종료하고 치료후 파일까지 지워버렸습니다..

    그나저나 저 바이러스 되도않는 실력으로 뜯어봤더니 중국에서 만들어진것같네요.