울지않는벌새 : Security, Movie & Society

HIMYM.DLL, V3LiveRun.exe 파일을 이용한 온라인 게임 악성코드 유포 주의 (Windows 7)

벌새::Analysis

주말을 기점으로 활발하게 유포가 이루어지고 있는 온라인 게임 계정 탈취 목적의 악성코드는 일반적으로 Windows XP 운영 체제에서는 시스템 파일(imm32.dll, ws2help.dll, wshtcpip.dll 등)을 패치하는 방식을 이용하여 치료에 많은 어려움이 발생하고 있습니다.

 

  <ASEC Blog> Windows Vista, 7 사용자를 대상으로 감염시키는 온라인 게임핵 악성코드 발견 (2012.2.27)

 

이에 반하여 Windows Vista와 Windows 7 운영 체제에서는 강화된 보안 기능으로 인하여 시스템 파일 패치 방식으로는 감염이 이루어지지 않고 있으며, 안랩(AhnLab) 정보에 따르면 2012년 2월 하순경부터 Windows Vista와 Windows 7 운영 체제에서도 감염이 이루어지는 사례를 확인할 수 있습니다.

 

그 동안 블로그에서는 Windows XP 운영 체제를 중심으로 감염과 관련된 분석 내용을 공개하였고, Windows Vista와 Windows 7 운영 체제 사용자의 경우 감염으로 인한 해결 방법을 한 번도 소개하지 않았습니다.

 

  톡플레이어(TokPlayer) 설치 파일 변조를 통한 온라인 게임 악성코드 유포 주의 (2012.6.3)

 

이에 따라 최근 동영상 재생 프로그램을 이용한 악성코드 감염이 발생한 Windows 7 운영 체제에서의 문제 해결 방법에 대해 간략하게 소개해 드리도록 하겠습니다.

 

해당 악성코드에 대한 기본적인 정보는 Windows XP 운영 체제에서 확인된 분석 정보를 참고하시기 바라며, Windows 7 운영 체제에서 감염된 이후의 수동 해결 방법을 중심으로 살펴보도록 하겠습니다.

 

[생성 파일 및 진단 정보]

 

C:\Windows\System32\HIMYM.DLL
 - MD5 : 046e136b6ef54a466d3c50243543d9a8
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 20/42)

 

C:\Windows\System32\V3LiveRun.exe
 - MD5 : 2f3c2370f0dea2bb23087a4be3d21f3e
 - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 14/42)

 

Windows 7 운영 체제에서는 Windows XP 환경과는 달리 ws2help.dll 시스템 파일 패치가 아닌 "C:\Windows\System32\HIMYM.DLL" 악성 파일을 시스템 폴더에 생성하여 다양한 프로세스에 인젝션(Injection)하는 방식으로 정보를 수집합니다. 

또한 Windows 시작시 AhnLab V3 보안 제품 파일로 위장한 "C:\Windows\System32\V3LiveRun.exe" 파일을 시작 프로그램에 등록하여 매번 특정 서버에서 XOR 암호화된 i.gif 파일을 받아와 임시 폴더에 파일을 생성하여 감염 여부를 체크하는 동작을 확인할 수 있습니다.

 

이를 통해 사용자가 특정 온라인 게임 및 모니터링 되는 특정 프로세스(Raycity.exe, heroes.exe, WinBaram.exe, wow.exe, ff2client.exe, lin.bin, MapleStory.exe, iexplore.exe)가 동작시 HIMYM.DLL 파일을 추가하여 정보 탈취를 시도합니다. 

실제 넷마블(netmarble.net) 웹 사이트에 Internet Explorer 웹 브라우저를 통해 접속 후 로그인을 시도할 경우 아이디(ID), 비밀번호를 수집하여 미국(USA)에 위치한 kr.prcsm.info(204.45.159.227) 서버로 전송하는 동작을 확인할 수 있습니다.

 

그렇다면 Windows 7 운영 체제에서 감염으로 인하여 보안 제품의 기능을 상실하여 문제를 해결할 수 없는 경우 어떻게 수동으로 문제를 해결할 수 있는지 살펴보도록 하겠습니다.

 

(1) "C:\Windows\System32\V3LiveRun.exe" 파일을 삭제하시기 바랍니다. 

파일 삭제시 "파일 액세스 거부됨" 메시지 창을 통해 관리자 권한을 요구하므로 "계속" 버튼을 클릭하여 삭제를 진행하시기 바랍니다.

 

(2) "C:\Windows\System32\HIMYM.DLL" 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : HIMYM.DLL-Malware) 

HIMYM.DLL 악성 파일을 삭제 시도할 경우 다양한 프로세스에 추가되어 있는 관계로 삭제를 할 수 없으므로 다음과 같은 방식으로 문제를 해결하시기 바랍니다. 

그림과 같이 HIMYM.DLL 파일을 선택하여 "이름 바꾸기" 메뉴를 통해 파일 확장자명을 HIMYM.DLL-Malware와 같은 형태로 변경한 후 "파일 액세스 거부됨" 메시지 창이 생성되면 "계속" 버튼을 클릭하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 관리자 권한으로 실행하여 다음의 레지스트리 값을 삭제 및 수정하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Disker = rundll32.exe C:\Windows\system32\HIMYM.DLL,DW
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - AhnLab V3Lite Update Process = C:\Windows\system32\V3LiveRun.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Help
 - Help Version = rrrYjhbbvyYdiajXdYbda
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
 - AppInit_DLLs = (공란) :: 변경 전
 - AppInit_DLLs = HIMYM.DLL :: 변경 후
 - LoadAppInit_DLLs = 0 :: 변경 전
 - LoadAppInit_DLLs = 1 :: 변경 후

 

참고로 "변경 후" 값은 반드시 "변경 전" 값으로 수정하시기 바라며, "AppInit_DLLs" 값은 입력된 내용(HIMYM.DLL)을 제거하시고 키 값을 삭제하지 마시기 바랍니다. 

만약 파일만 삭제하고 레지스트리 값을 삭제하지 않은 상태에서 시스템 재부팅을 진행할 경우에는 RunDLL 창을 생성하여 "C:\Windows\System32\HIMYM.DLL을(를) 시작하는 동안 문제가 발생했습니다. 지정된 모듈을 찾을 수 없습니다."라는 경고창이 생성되는 동작을 확인할 수 있습니다.

 

특히 일부 백신 프로그램에서 치료시 파일만 치료하고 레지스트리 값을 제거하지 않는 경우가 있을 수 있으므로 사용자가 수동으로 관련 레지스트리 값을 찾아 제거하시기 바랍니다.

 

(4) 시스템 재부팅 후 파일 확장자명을 변경한 "C:\Windows\System32\HIMYM.DLL-Malware" 파일을 찾아 수동으로 삭제해 주시기 바랍니다.

 

모든 절차가 완료된 후에는 기존에 사용하는 백신 프로그램을을 재실행하여 최신 업데이트를 진행한 후 정밀 검사를 통해 추가적인 악성코드가 있는지 확인하시는 것이 중요합니다.

 

일반적으로 악성코드는 운영 체제에 따라 감염 파일의 위치나 파일명 등이 달라질 수 있으며, 이번 감염과 같이 특정 보안 취약점이 아닌 정상적인 소프트웨어를 통해서도 유포가 이루어질 수 있으므로 백신 프로그램의 실시간 감시 기능을 항상 켜시고 인터넷을 이용하시기 바랍니다.