2012년 5월 24일에 해외에서 등록된 가짜 Microsoft Internet Explorer 웹 사이트를 이용하여 Oracle JRE 취약점 및 제공되는 Internet Explorer 9.0 설치 파일을 이용하여 온라인 게임핵을 유포하는 행위를 확인하였습니다.
특히 해당 유포에서는 국내 도메인 서비스를 운영하는 W 업체의 웹로그 서버가 해킹되어 숙주로 악용되는 부분이 확인되고 있습니다.
현재 유포가 이루어지고 있는 웹 사이트 모습을 살펴보면 Microsoft Internet Explorer 웹 사이트처럼 구성되어 있으며, 아마 국내 인터넷 사이트 게시판(게시글) 등을 통해 접속을 유도하지 않았을까 추정됩니다.
해당 웹 사이트에서는 "Internet Explorer 9 다운로드" 버튼을 클릭할 경우 IE9-x86-KOR.exe 파일(MD5 : a4b7143874cf3a42402dc292404cedef)을 제공하고 있으며, 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 11/41) 진단명으로 진단되고 있습니다.
해당 파일의 경우에는 사용자가 다운로드를 한 후 실행을 할 경우 온라인 게임핵 관련 악성 파일을 설치하도록 제작되어 있습니다.
하지만 파일 다운로드 및 실행과 관계없이 가짜 Microsoft Internet Explorer 웹 사이트에 접속할 경우 Oracle JRE 취약점(CVE-2012-1723)을 이용하여 패치가 되지 않은 사용자의 경우 자동으로 감염을 유발하는 코드가 포함되어 있습니다.
- h**p://www.ie******.****/ad/test.jar (MD5 : 25b975e090eca2ae7f22b3c078818266) - Microsoft : Exploit:Java/CVE-2012-0507.D!ldr (VirusTotal : 18/41)
- h**p://logstat.*****.co.kr/k.gif (MD5 : dccefcce26ccc9605cabc3e07a564786)
이를 통해 국내 W 도메인 업체의 웹로그 서버로부터 암호화된 k.gif 파일을 다운로드하는 동작이 이루어집니다.
감염 과정에서 연결되는 정보를 확인해보면 네이버(Naver) 서버에 쿼리 전송을 통한 인터넷 연결 확인 후, 소스포지(sourceforge.net)에 등록된 특정 계정으로 연결하여 체크하며, 최종적으로 국내 도메인 업체에서 운영하는 서버로부터 암호화(XOR)된 악성 파일을 받아오는 동작을 확인할 수 있습니다.
▷ 톡플레이어(TokPlayer) 설치 파일 변조를 통한 온라인 게임 악성코드 유포 주의 (2012.6.3)
이는 이전에 발생하였던 톡플레이어(TokPlayer) 설치 파일 변조를 시도하여 온라인 게임핵을 유포한 공격자와 동일한 것으로 확인되고 있으므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\0.9887084629695475.exe :: (= V3LiveRun.exe), 자가 삭제
- MD5 : a7c4bdca372f61c20eb0e98d20026db9
- AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 11/42)
※ 해당 파일명은 랜덤(Random)하게 생성됩니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\6AB1F.exe :: 자가 삭제
- MD5 : 486d604b462be6dc4f97741348037178
- AhnLab V3 : Dropper/Onlinegamehack21.Gen (VirusTotal : 19/42)
※ 해당 파일명은 랜덤(Random)하게 생성됩니다.
다운로드된 XOR 암호화된 파일은 2개의 파일을 임시 폴더에 생성하여 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일 패치를 통한 온라인 게임핵 관련 악성 파일을 설치합니다.
[생성 파일 및 진단 정보]
C:\WINDOWS\system32\drivers\kill.sys
- MD5 : 9c5c12f48e43063ade00f925bf095cae
- AhnLab V3 : Trojan/Win32.Rootkit (VirusTotal : 5/37)
※ 해당 파일은 AhnLab V3, 알약(ALYac) 등 특정 보안 제품이 설치된 환경에서만 생성됩니다.
C:\WINDOWS\system32\V3LiveRun.exe :: 시작 프로그램 등록 파일
- MD5 : a7c4bdca372f61c20eb0e98d20026db9
- AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 11/42)
C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기(19,968 Bytes) / 변경 후 파일 크기(52,172 Bytes)
- MD5 : b01406913e45e1377c1730ccc0c39abe
- AhnLab V3 : Win-Trojan/Patched3.Gen (VirusTotal : 24/42)
C:\WINDOWS\system32\ws2help.dll.Qfn.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.
C:\WINDOWS\system32\ws2helpXP.dll :: (= ws2help.dll), 정상 파일
악성코드 감염 과정에서는 특정 보안 제품(※ AhnLab V3, 알약(ALYac) 등)이 설치되어 있는 경우, "C:\WINDOWS\system32\drivers\kill.sys" 악성 드라이버 파일을 생성하여 AVKiller 기능을 수행합니다.
이를 통해 시스템 시작시마다 "C:\WINDOWS\system32\V3LiveRun.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하여, 네이버(Naver) 서버에 쿼리 전송 및 특정 소스포지(sourceforge.net) 계정에 연결을 시도하여 체크한 후 스스로 종료되도록 구성되어 있습니다.
감염된 환경에서 사용자가 특정 온라인 게임에 접속하여 로그인을 시도하는 과정에서 아이디(ID), 비밀번호, OTP 정보를 수집할 수 있습니다.
- ns.plaync.com
- hangame.com
- netmarble.net
- pmang.com
- df.nexon.com
또한 국내 인터넷 사용자가 많이 사용하는 AhnLab SiteGuard, 네이버 백신(Naver Vaccine), AhnLab V3, 알약(ALYac) 등 백신 프로그램 프로세스를 모니터링하여 자신을 진단하지 못하게 방해를 할 수 있습니다.
이를 통해 미국(USA)에 위치한 "kr.zhuliye.info (204.45.98.140)" 서버에 온라인 게임 계정 정보를 전송하는 동작을 확인할 수 있습니다.
해당 악성코드에 감염된 사용자는 다음과 같은 방식으로 문제를 해결할 수 있으며, 지식이 없는 분들은 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바랍니다.
(1) 윈도우 탐색기를 실행하여 다음의 파일을 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\drivers\kill.sys
- C:\WINDOWS\system32\V3LiveRun.exe
(2) "C:\WINDOWS\system32\ws2help.dll" 악성 시스템 파일의 확장자를 변경하시기 바랍니다.(※ 예시 : ws2help.dll-Malware)
파일 확장자를 변경한 후에는 윈도우 파일 보호(WFP) 기능을 통해 자동으로 ws2help.dll 시스템 파일이 생성되므로, 사용자는 윈도우 탐색기를 재실행하여 ws2help.dll 파일이 복원되었는지 반드시 확인하시기 바랍니다.
만약 ws2help.dll 파일이 복원되지 않은 상태에서 시스템 재부팅을 할 경우 블루 스크린(BSoD)이 생성되어 부팅에 문제가 발생할 수 있으므로 주의하시기 바랍니다.
(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- AhnLab V3Lite Update Process = C:\WINDOWS\system32\V3LiveRun.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Help
- Help Version = gjbnovoYrcjdnYxjYfmXfYbda
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- AppInit_DLLs = (공란) :: 변경 전
- AppInit_DLLs = ws2help.dll :: 변경 후
※ "변경 후" 값은 "변경 전" 값으로 수정하시기 바라며, 삭제하지 마시기 바랍니다.
(4) 시스템 재부팅을 한 후 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp
- C:\WINDOWS\system32\ws2help.dll-Malware :: 사용자가 확장자를 변경한 파일
- C:\WINDOWS\system32\ws2helpXP.dll
모든 절차가 완료된 사용자는 반드시 백신 프로그램을 최신 업데이트한 후 정밀 검사를 진행하시기 바라며, Oracle JRE 프로그램이 설치된 경우 최신 버전으로 업데이트를 진행하시기 바랍니다.
이번 사례에서는 Microsoft 웹 사이트와 유사하게 제작된 피싱(Phishing) 사이트를 이용하여 감염을 유발하고 있으므로, 파일을 다운로드할 때에는 해당 사이트 주소(URL)을 꼼꼼하게 확인하시는 습관을 가지시기 바랍니다.