울지않는벌새 : Security, Movie & Society

국내 백신 업데이트를 방해하는 wshtcpip.dll 온라인 게임핵 유포 주의 (2012.7.21)

벌새::Analysis

Adobe Flash Player, Oracle JRE 등의 보안 취약점을 이용한 주말 유포 사례에서 감염시 국내 대표적인 백신 프로그램의 업데이트 서버 접속을 방해하는 방식이 지속적으로 발견되고 있습니다. 

이로 인하여 감염된 환경에서는 백신 프로그램 동작에는 문제가 없는데 AhnLab V3 백신의 경우 "업데이트 중 오류가 발생했습니다. (-1073741819)" 메시지 표시나 알약(ALYac) 백신에서는 "업데이트 서버와 연결에 실패하였습니다."라는 메시지를 통해 최신 DB 업데이트를 하지 못하도록 업데이트 서버를 차단하는 것을 확인할 수 있습니다.

 

현재 확인된 이번 주말 유포 행위 중 wshtcpip.dll 시스템 파일 패치를 통해 온라인 게임 계정 정보를 수집하는 악성코드 감염으로 인한 사례를 통해 간단하게 살펴보도록 하겠습니다.

 

참고로 해당 유포는 사용자가 보안 패치가 제대로 적용되지 않은 특정 웹 사이트를 방문할 경우 자동으로 감염되며, 최종적으로 다운로드된 악성 파일(MD5 : 7efb0e28ed103224209e6065d0877da0)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 12/42) 진단명으로 진단되고 있습니다.

 

감염이 이루어지면 C 드라이브 내의 랜덤(Random)한 위치에 "(6자리 영문+숫자).tmp" 악성 파일(MD5 : 23b92164d917cfcedaa228cf4d749c63)을 생성하여 ClearFilter 서비스 등록하고 자가 삭제 처리됩니다. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLEARFILTER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClearFilter

참고로 해당 랜덤(Random)한 이름을 가지는 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Rootkit (VirusTotal : 3/42) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\drivers\etc\yQYus :: 시스템 재부팅시 자가 삭제
※ 해당 파일은 (5자리 영문+숫자) 형태입니다.

 

C:\WINDOWS\system32\CmoG7IK.tmp :: wshtcpip.dll 백업 파일(정상 파일)

※ 해당 파일은 (7자리 영문+숫자).tmp 형태이며, 시스템 재부팅시 자가 삭제 처리됩니다.


C:\WINDOWS\system32\tcpipv6.dll :: (= wshtcpip.dll) / 정상 파일


C:\WINDOWS\system32\wshtcpip.dll :: 변경 전 파일 크기(19,456 Bytes) / 변경 후 파일 크기(72,649 Bytes)
 - MD5 : ca7746c10aef71c4405eabfe19b70715
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 11/42)

감염 과정에서 악성 파일 생성이 완료된 후에는 [C:\WINDOWS\system32\cmd.exe /C ping 1.1.1.1 -n 1 -w 1000>nul& del "(최종 다운로드 파일)"] CMD 명령어를 통해 핑(Ping) 테스트와 최종 다운로드 파일을 삭제 처리합니다.

 

1. 국내 백신 업데이트 서버 차단 

초기 감염된 환경에서는 "C:\WINDOWS\system32\drivers\etc" 폴더 내의 호스트 파일(hosts)을 건드리지 않고, 랜덤(Random)한 파일을 생성하여 네이버 백신(Naver Vaccine), 알약(ALYac), AhnLab V3 업데이트 서버 정보를 추가하고 있습니다. 

이를 통해 백신 프로그램이 정상적으로 동작하는 환경에서도 업데이트를 시도할 경우 정상적으로 연결이 되지 않는 것을 확인할 수 있습니다. 

테스트에서는 AhnLab V3 Lite 제품의 경우 업데이트를 시도할 경우 연결이 되지 않는 문제와 함께 CPU가 장시간 지속적으로 치솟는 문제도 발견이 되고 있습니다.

 

2. "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일 패치 

해당 악성코드는 감염시 "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일(Windows Sockets Helper DLL)을 "C:\WINDOWS\system32\(7자리 영문+숫자).tmp" 파일로 백업을 한 후 악성 파일로 패치를 합니다.

 

패치된 악성 "C:\WINDOWS\system32\wshtcpip.dll" 파일은 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 속성값을 가지고 있는 것이 특징이며, 정상적인 wshtcpip.dll 기능은 "C:\WINDOWS\system32\tcpipv6.dll" 파일을 생성하여 포워딩합니다. 

감염된 환경에서 사용자가 한게임(HanGame)을 비롯한 특정 온라인 계정에 접속하여 로그인을 시도하는 과정에서 미국(USA)에 위치한 "img.t215.com(142.54.163.50)" 서버로 계정 아이디(ID), 비밀번호, OTP 정보 등이 실시간으로 전송될 수 있습니다.

 

3. 감염 후 시스템 재부팅시 

  • C:\WINDOWS\system32\drivers\etc\(5자리 영문+숫자)
  • C:\WINDOWS\system32\(7자리 영문+숫자).tmp

이렇게 감염이 이루어진 PC 환경에서 사용자가 시스템 재부팅을 진행하게 되며, 백신 업데이트 서버를 차단하는 정보 파일과 wshtcpip.dll 시스템 파일 백업 파일을 자동으로 삭제 처리하여 사용자가 쉽게 눈치챌 수 없도록 하고 있습니다.

 

이후에도 지속적인 백신 업데이트 차단 및 온라임 게임 계정 정보 유출 행위는 지속적으로 이루어지며, 수동으로 해당 문제를 해결하기 위해서는 다음의 절차에 따르시기 바랍니다.

 

(1) "C:\WINDOWS\system32\wshtcpip.dll" 악성 파일의 확장자 변경하기(※ 예 : wshtcpip.dll-Malware) 

모든 프로그램을 종료한 상태에서 윈도우 탐색기를 통해 "C:\WINDOWS\system32\wshtcpip.dll" 파일의 확장자를 "wshtcpip.dll-Malware"와 같은 형태로 변경하시기 바랍니다.

 

이에 따라 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 wshtcpip.dll 파일이 생성되므로 윈도우 탐색기를 재실행하여 반드시 확인하시기 바랍니다.

 

(2) ClearFilter 서비스 값 제거하기 

실행창에 [sc delete "ClearFilter"] 명령어를 입력하여 등록된 ClearFilter 서비스 값을 제거하시기 바랍니다. 

그 후, 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

CLEARFILTER" 값을 찾으시기 바랍니다.

 

해당 값에 마우스 우클릭을 통해 "사용 권한" 메뉴를 클릭하여 "Everyone"의 사용 권한 중 "모든 권한 → 허용"에 체크를 하여 적용한 후 삭제를 시도하시기 바랍니다.

 

(3) 시스템 재부팅을 반드시 한 후, 제시된 2개의 파일을 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\tcpipv6.dll :: 정상 파일
  • C:\WINDOWS\system32\wshtcpip.dll-Malware :: 악성 파일

또한 정상적으로 백신 업데이트 서버와의 연결이 이루어지므로 최신 DB 업데이트를 통해 시스템 정밀 검사을 추가적으로 진행하시기 바랍니다.

 

위와 같은 악성코드에 감염된 사용자는 반드시 Windows 보안 패치를 비롯하여 Adobe Flash Player, Oracle JRE(설치된 PC만 해당) 최신 버전을 반드시 설치하시고 인터넷을 이용하시기 바랍니다.