본문 바로가기

벌새::Analysis

국내 압축 프로그램 업데이트를 통한 온라인 게임핵 유포 주의 (2012.7.23)

국내에서 제작된 유명 압축 프로그램의 업데이트 기능을 이용하여 온라인 게임핵 악성코드 유포 행위가 확인되었습니다.

 

해당 감염 방식을 살펴보면 압축 프로그램의 파일 변조 방식이 아닌 프로그램 설치 완료 후 자동 업데이트 체크 또는 기존에 설치된 프로그램 환경에서 업데이트 체크(updater.exe)를 시도할 경우 감염이 이루어질 수 있습니다. 

이를 통해 해당 압축 프로그램 사용자의 PC 환경이 MS Windows, Adobe Flash Player, Oracle JRE 보안 패치가 제대로 이루어지지 않은 경우 자동으로 감염이 이루어질 수 있으며, 최종 다운로드 파일(MD5 : fabf021c72bb5a5e834383f5f260aae6)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 17/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

 

  Softome.dll + wshtcpip.dll 파일을 이용한 온라인 게임 악성코드 유포 주의 (2012.4.8)

 

참고로 감염으로 인해 생성되는 파일은 기존의 "Softome.dll + wshtcpip.dll" 악성 파일 감염 사례의 변형된 방식이므로 참고하시기 바랍니다.

 

[생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\A1.zip :: (= ws2help.dll) / 정상 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\B1.zip :: (= wshtcpip.dll) / 정상 파일

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dt5.dll
 - MD5 : 07f124b89cb64173f60b618dccff0915
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 16/42)

※ 해당 파일은 랜덤(Random)한 MD5 값과 파일명을 가집니다.

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\G8J.dll :: 악성 wshtcpip.dll 파일
 - MD5 : 9857457a9f8252a7bffa676cc56055bb
 - Microsoft : PWS:Win32/OnLineGames.AH (VirusTotal : 17/41)

※ 해당 파일은 랜덤(Random)한 MD5 값과 파일명을 가집니다.

 

C:\WINDOWS\system32\drivers\5b39b8d7.sys
 - MD5 : 4bb87d356227db5f7a65c64ff6f31316
 - AhnLab V3 : Win-Trojan/Hupe.Gen (VirusTotal : 7/41)
※ 해당 파일은 랜덤(Random)한 MD5 값과 (8자리 영문+숫자).sys 형태입니다.

 

C:\WINDOWS\system32\esetejx.dll :: BHO 등록 파일
 - MD5 : 36e1f25e1801f598acc5a2e62e190d06
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 11/42)

 

C:\WINDOWS\system32\m7yJ8iyy :: wshtcpip.dll 백업 파일(정상 파일)

※ 해당 파일은 (6~8자리 영문+숫자) 형태입니다.

 

C:\WINDOWS\system32\wshtcpip.dll :: 변경 전 파일 크기(19,456 Bytes) / 변경 후 파일 크기(47,616 Bytes)
 - MD5 : 9857457a9f8252a7bffa676cc56055bb
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 17/42)

 

C:\WINDOWS\system32\wshtcpjx.dll :: (= wshtcpip.dll) / 정상 파일

 

1. "C:\WINDOWS\system32\drivers\5b39b8d7.sys" 악성 드라이버 파일 

감염시 사용자 PC에 설치된 백신 프로그램의 무력화를 목적으로 설치되는 해당 드라이버 파일은 랜덤(Random)한 "(8자리 영문+숫자).sys" 파일명으로 생성되어, 자체 보호 기능이 약한 백신의 경우 완전히 종료되어 실행되지 않도록 제작되어 있습니다.

 

2. "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더 생성 파일 

감염 과정에서 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더 내에 생성되는 파일 정보를 살펴보면, zip 압축 파일 형태를 가진 2개의 파일은 정상적인 ws2help.dll(Windows Socket 2.0 Helper for Windows NT), wshtcpip.dll(Windows Sockets Helper DLL) 시스템 파일입니다.

 

또한 랜덤(Random)한 파일명으로 생성된 ws2help.dll 파일 속성값을 가진 2개의 악성 파일은 wshtcpip.dll 시스템 파일을 패치하는데 이용됩니다.

 

3. "C:\WINDOWS\system32\esetejx.dll" BHO 등록 파일 

감염된 환경에서 사용자가 윈도우 탐색기(explorer.exe), Internet Explorer 웹 브라우저(iexplore.exe)를 실행할 경우, 해당 프로세스에 삽입된 esetejx.dll 파일을 통해 특정 악성 서버와 연결을 시도하는 동작을 확인할 수 있습니다. 

생성된 "C:\WINDOWS\system32\esetejx.dll" 파일 속성값을 확인해보면 "cvbo.dll(cvbo Module)" 값을 가지고 있는 것을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : IEHlprObj Class

유형 : 브라우저 도우미 개체

CLSID : {34CF11D2-ACC7-4DE6-BBB8-5FBE05BEE24A}

파일 : C:\WINDOWS\system32\esetejx.dll

  • bns.plaync.com
  • dk.halgame.com
  • heroes.nexon.com
  • nexon.com
  • happymoney.co.kr
  • teencash.co.kr
  • cultureland.co.kr
  • booknlife.com
  • capogames.net
  • dragonnest.nexon.com
  • elsword.nexon.com
  • clubaudition.ndolfin.com
  • netmarble.net
  • itemmania.com
  • itembay.com
  • pmang.com
  • aion.plaync.jp
  • plaync.co.kr
  • maplestory.nexon.com
  • hangame.com
  • fifaonline.pmang.com
  • df.nexon.com
  • baram.nexon.com

해당 파일은 Internet Explorer 웹 브라우저에 브라우저 도우미 개체(BHO)로 등록하여 온라인 게임, 상품권, 아이템 웹 사이트 계정 정보를 수집하는 동작을 확인할 수 있습니다. 

실제 특정 온라인 게임에 접속하여 로그인을 시도할 경우 "blue.qesert.com(205.164.5.109)" 서버로 아이디(ID), 비밀번호, OTP 정보 등을 실시간으로 전송하는 동작을 확인할 수 있습니다.

 

4. "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일 패치 

"C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일을 패치하기 위하여 ① 해당 파일의 기능을 담당할 "C:\WINDOWS\system32\wshtcpjx.dll" 파일 생성 ② wshtcpip.dll 시스템 파일 백업 ③ 악성 wshtcpip.dll 파일로 패치를 진행합니다.

  • 네이버 백신(Naver Vaccine) : NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NaverAgent.exe
  • 알약(ALYac) : AYRTSrv.aye, AYUpdSrv.aye, AYAgent.aye, EstRtw.sys
  • AhnLab V3 : V3LSvc.exe, V3LRun.exe, V3LTray.exe, MUpdate2.exe, AhnFlt2k.sys, AhnFltNt.sys, AhnRec2k.sys, AhnRecNt.sys, AhnRghNt.sys, ahnsze.sys, v3core.sys, v3engine.sys
  • AhnLab SiteGuard : SgSvc.exe, Sgui.exe, SgRun.exe
  • avast! : avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe
  • AVG : avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe
  • Avira AntiVir : avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe
  • BitDefender : updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe
  • ESET NOD32 : egui.exe, ekrn.exe
  • Kaspersky : avp.exe
  • McAfee : shstat.exe, Mctray.exe, UdaterUI.exe
  • MSE : msseces.exe
  • Symantec Norton : ccSvcHst.exe, Navw32.exe

패치된 악성 wshtcpip.dll 파일은 국내외 유명 백신 프로그램의 동작을 방해할 수 있으며, 추가적인 온라인 게임(Dungeon & Fighter, MapleStory, Elsword, Lineage, Diablo 3 등)에 대한 계정 정보 및 OTP 정보를 유출할 수 있습니다.

 

해킹된 웹 서버를 통해 감염을 유발하는 압축 프로그램을 사용하시는 분들은 반드시 감염 여부를 백신 프로그램 또는 수동으로 확인할 필요가 있으며, 수동으로 문제 해결을 원하시는 분들은 다음의 절차를 따르시기 바랍니다.

 

(1) Internet Explorer 웹 브라우저를 실행하여 추가 기능 관리에 등록된 "IEHlprObj Class" 항목을 선택하여 "사용 안 함"으로 변경한 후 웹 브라우저를 종료하시기 바랍니다.(※ 3. "C:\WINDOWS\system32\esetejx.dll" BHO 등록 파일 정보 참조)

 

(2) 루트킷(RootKit) 탐지 및 제거 프로그램 GMER 파일을 실행하여 "Services" 탭에서 시스템 드라이버 폴더에 생성된 랜덤(Random)한 파일명을 가진 "(8자리 영문+숫자).sys" 악성 파일을 찾아 마우스 우클릭을 통해 생성된 하위 메뉴 중 "Delete..." 메뉴를 선택하시기 바랍니다. 

  • C:\WINDOWS\system32\drivers\(8자리 영문+숫자).sys
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\(8자리 영문+숫자)

이를 통해 악성 드라이버 파일과 레지스트리에 등록된 드라이버 값을 자동으로 제거할 수 있습니다. 

추가적으로 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_(8자리 영문+숫자)" 값을 찾아 삭제를 시도하시기 바랍니다.

 

삭제시에는 해당 상위값에 마우스 우클릭을 통해 "사용 권한" 메뉴를 선택하여 "Everyone의 사용 권한""모든 권한 → 허용"에 체크를 한 후, 삭제를 시도하시면 정상적으로 삭제가 이루어집니다.

 

(3) 윈도우 탐색기를 실행하여 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\A1.zip
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\B1.zip
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dt5.dll :: 랜덤(Random) 파일명 / ws2help.dll 속성값 파일
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\G8J.dll :: 랜덤(Random) 파일명 / ws2help.dll 속성값 파일

(4) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\SYS_DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34CF11D2-ACC7-4DE6-BBB8-5FBE05BEE24A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{34CF11D1-ACC7-4DE6-BBB8-5FBE05BEE24A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{34CF11D8-ACC7-4DE6-BBB8-5FBE05BEE24A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{34CF11D2-ACC7-4DE6-BBB8-5FBE05BEE24A}

 

(5) 윈도우 탐색기를 실행하여 다음의 파일의 확장자명을 변경하시기 바랍니다.

  • C:\WINDOWS\system32\esetejx.dll → esetejx.dll-Malware
  • C:\WINDOWS\system32\wshtcpip.dll → wshtcpip.dll-Malware

이 중에서 악성 wshtcpip.dll 시스템 파일의 확장자명을 변경한 후에는 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 wshtcpip.dll 시스템 파일이 생성되므로 반드시 생성 여부를 확인한 후 시스템 재부팅을 진행하시기 바랍니다.

 

(6) 시스템 재부팅을 한 후 추가적으로 다음의 파일을 찾아 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\esetejx.dll-Malware
  • C:\WINDOWS\system32\wshtcpip.dll-Malware
  • C:\WINDOWS\system32\wshtcpjx.dll :: 정상 파일

모든 절차가 완료된 후에는 실행되지 않는 백신 프로그램이 정상적으로 동작하므로 최신 DB 업데이트를 체크한 후 정밀 검사를 하시기 바랍니다.

 

이번 사례와 같이 국내에서 인기있는 소프트웨어의 업데이트 기능을 통해 악성코드 감염을 유발할 수 있으므로, 보안 취약점을 이용한 유포 행위를 근본적으로 차단하기 위해서는 반드시 윈도우를 비롯한 Adobe Flash Player, Oracle JRE 프로그램의 최신 버전을 유지하는 습관을 가지시기 바랍니다.

  • 비밀댓글입니다

  • root 2012.07.23 16:53 댓글주소 수정/삭제 댓글쓰기

    어제 우연히 반디집실행했다가 어베스트에서 진단했는데..그거 같군요..

  • 벌새님, 좋은글감사드립니다
    제시해주신 수동경로를 따라하던 도중, gmer 프로그램을 실행했는데, 거기서 아무리 오른쪽 버튼-delete를 눌러도 작동이 안되네요..믿에 다른 프로그램을 해봐도 묵묵부답입니다. 어떻게 해야 되는지 좀 알려주세요ㅜ:)

    • GMER을 이용해서 드라이버 파일 및 서비스 제거가 되지 않는 경우에는 우선적으로 윈도우 탐색기로 해당 파일을 찾아 수동 삭제하셔도 됩니다.

      또한 전용 백신(http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105)을 이용해 보시기 바랍니다.

  • 빠른답변 감사드립니다. 위 문제는 다시 차근차근 해보니 되더군요. 근데 마지막에 재부팅 후 •C:\WINDOWS\system32\wshtcpjx.dll :: 정상 파일
    얘만 제거가 안됩니다.. 제거하려 하니까 엑세스가 거부된다고 뜨는데..이 경우는 어떻게 해야하나요?

    • 정상 파일은 삭제를 하지 않으셔도 됩니다.

      이유는 악성 파일이 최초에 정상 파일을 바꿔치기하면서 다른 파일명으로 이름을 변경하고, 윈도우는 그 정상 파일을 이용하기 위해 이름이 변경된 정상 파일을 사용하니 엑세스 거부가 일어나죠.

      그러므로 바꿔치기 된 파일을 정상 파일로 변경하고, 원래 정상 파일이었던 이름이 변경된 파일은 그냥 두었다가 재부팅 이후에 삭제를 하면 됩니다.

      아니면 정상 파일은 그대로 두셔도 상관없습니다.

  • 이렇게 많은바이러스중에 EstRtw.sys가 위험도가 높던데, 이건 어떻게 해결해야 되나요? drivers에 있는 파일이라고는 하는데... 아베스트로 치료할려고 하는데, 파일을 못찾겠더라고 뜨더군요...이럴땐 어떻게 해야하나요?

    • EstRtw.sys 드라이버 파일은 알약(ALYac) 보안 제품의 정상적인 드라이버 파일입니다.

      그러므로 알약이 설치되어 있는 환경에서는 삭제하시지 않도록 하시기 바랍니다.