최근 안랩(AhnLab) 백신의 ASD 기능 향상을 통한 진단 능력이 강화되면서 주말을 중심으로 활발하게 유포가 이루어지고 있는 중국발 온라인 게임핵 악성코드가 변화를 시도하였습니다.
이번 변화는 감염시 호스트 파일(C:\WINDOWS\system32\drivers\etc\hosts) 변조를 통해 AhnLab V3 백신 프로그램을 사용하는 사용자가 ASD 서버와 연결되지 못하도록 "127.0.0.1 gms.ahnlab.com"을 추가한 방식이 등장하였습니다.
예를 들어 정상적인 PC 환경에서는 ASD 서버로 핑(Ping)을 전송하면 ASD 서버의 응답을 받을 수 있습니다.
하지만 감염 과정에서 호스트 파일이 변조된 PC 환경에서는 AhnLab V3 백신 프로그램이 ASD 서버에 연결을 시도할 경우, 호스트 파일에 등록된 Localhost(= 127.0.0.1)로 전송하여 루프백(Loopback) 되도록 변경을 하게 됩니다.
이를 통해 AhnLab V3 백신은 ASD 서버로부터 파일 및 진단 정보를 서로 교환하지 못하여 ASD 엔진을 통한 진단을 할 수 없으며, TS 엔진에만 의존하게 되어 빠른 진단을 통한 대응력에 헛점이 생길 수 있습니다.
참고로 해당 악성코드의 경우 최초 감염시 1회에 한하여 호스트 파일 변조를 시도하므로, 사용자가 호스트 파일 수정(※ 추가된 "127.0.0.1 gms.ahnlab.com" 값 삭제)을 통해 정상적으로 ASD 서버 연결이 이루어질 수 있습니다.
현재 확인된 유포 사이트에서는 보안 취약점(Adobe Flash Player, Oracle JRE)에 대한 패치가 이루어지지 않은 사용자가 감염에 노출될 수 있으며 최종적으로 다음의 악성 파일을 통해 감염이 이루어집니다.
- h**p://**.feikun.info/jz.exe (MD5 : d5ba84496564ac797dd1b25359f5fd0f) - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 18/42)
이를 통해 다운로드된 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\gondad.exe" 파일로 생성되어, 가장 우선적으로 호스트 파일 변종를 하여 ASD 진단을 방해하게 됩니다.
그 이후 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\1.exe" 파일을 생성하여, 시스템 파일 패치를 비롯한 악성 파일을 생성하는 동작으로 구분되어 집니다.
참고로 1.exe(MD5 : 149a2b08c6eff198955fcd9dcd91c044) 파일에 대하여 AVG 보안 제품에서는 Win32/Patched.EA (VirusTotal : 17/42) 진단명으로 진단되고 있습니다.
C:\WINDOWS\system32\drivers\etc\hosts :: 파일 변경
C:\WINDOWS\system32\drivers\kill.sys
- MD5 : d0bb36c9bd2c10190ea259d03f44a1fe
- AhnLab V3 : Trojan/Win32.KillAV (VirusTotal : 7/42)
C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기(19,968 Bytes) / 변경 후 파일 크기(46,592 Bytes)
- MD5 : a664bbbbed5113c1463a532ae09a9af5
- Microsoft : PWS:Win32/OnLineGames.LH (VirusTotal : 16/42)
C:\WINDOWS\system32\ws2help.dll.X88.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.
C:\WINDOWS\system32\ws2helpXP.dll :: (= ws2help.dll), 정상 파일
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- AppInit_DLLs = (공란) :: 변경 전
- AppInit_DLLs = ws2help.dll :: 변경 후
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony
※ "변경 후" 값은 "변경 전" 값으로 수정하시기 바랍니다.
감염시 AhnLab V3, 알약(ALYac) 등 특정 백신 프로그램이 설치된 경우 kill.sys 악성 드라이버 파일을 통해 AVKiller 기능을 통한 무력화가 수행되어 정상적인 백신 기능을 이용할 수 없게 됩니다.
또한 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하여 사용자가 아래 목록의 온라인 게임에 접속하여 로그인을 시도할 경우 아이디(ID), 비밀번호, OTP 정보 등을 탈취 당할 수 있습니다.
- ns.plaync.com
- hangame.com
- netmarble.net
- pmang.com
- df.nexon.com
그 외에 AhnLab SiteGuard, AhnLab V3, 네이버 백신(Naver Vaccine), 알약(ALYac) 등 백신 프로그램의 프로세스를 감시하여 정상적인 동작을 방해하고 있습니다.
감염된 사용자가 온라인 게임에 접속하여 로그인을 시도할 경우, 미국(USA)에 위치한 "ds.laowen111.com (204.45.123.173)" 서버에 수집된 정보가 실시간으로 전달되는 것을 확인할 수 있습니다.
결론적으로 이제부터는 온라인 게임핵 유포시에는 AhnLab V3 백신의 빠른 대응력으로 인하여 필수적으로 호스트 파일 변조 또는 다른 방식을 이용한 ASD 진단을 방해하려는 다양한 시도가 있을 수 있습니다.
▷ 안랩(AhnLab) 클라우드 진단을 우회하는 악성코드 유포 주의 (2012.6.16)
이와 유사한 사례로 이전에 소개한 네트워크 라우팅 테이블 조작을 통해 ASD 서버 연결을 방해하는 악성코드를 소개한 적이 있으므로 참고하시기 바랍니다.