울지않는벌새 : Security, Movie & Society

국내 압축 프로그램 업데이트를 통한 온라인 게임핵 유포 주의 (2012.7.23)

벌새::Analysis

국내에서 제작된 유명 압축 프로그램의 업데이트 기능을 이용하여 온라인 게임핵 악성코드 유포 행위가 확인되었습니다.

 

해당 감염 방식을 살펴보면 압축 프로그램의 파일 변조 방식이 아닌 프로그램 설치 완료 후 자동 업데이트 체크 또는 기존에 설치된 프로그램 환경에서 업데이트 체크(updater.exe)를 시도할 경우 감염이 이루어질 수 있습니다. 

이를 통해 해당 압축 프로그램 사용자의 PC 환경이 MS Windows, Adobe Flash Player, Oracle JRE 보안 패치가 제대로 이루어지지 않은 경우 자동으로 감염이 이루어질 수 있으며, 최종 다운로드 파일(MD5 : fabf021c72bb5a5e834383f5f260aae6)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 17/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

 

  Softome.dll + wshtcpip.dll 파일을 이용한 온라인 게임 악성코드 유포 주의 (2012.4.8)

 

참고로 감염으로 인해 생성되는 파일은 기존의 "Softome.dll + wshtcpip.dll" 악성 파일 감염 사례의 변형된 방식이므로 참고하시기 바랍니다.

 

[생성 파일 및 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\A1.zip :: (= ws2help.dll) / 정상 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\B1.zip :: (= wshtcpip.dll) / 정상 파일

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dt5.dll
 - MD5 : 07f124b89cb64173f60b618dccff0915
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 16/42)

※ 해당 파일은 랜덤(Random)한 MD5 값과 파일명을 가집니다.

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\G8J.dll :: 악성 wshtcpip.dll 파일
 - MD5 : 9857457a9f8252a7bffa676cc56055bb
 - Microsoft : PWS:Win32/OnLineGames.AH (VirusTotal : 17/41)

※ 해당 파일은 랜덤(Random)한 MD5 값과 파일명을 가집니다.

 

C:\WINDOWS\system32\drivers\5b39b8d7.sys
 - MD5 : 4bb87d356227db5f7a65c64ff6f31316
 - AhnLab V3 : Win-Trojan/Hupe.Gen (VirusTotal : 7/41)
※ 해당 파일은 랜덤(Random)한 MD5 값과 (8자리 영문+숫자).sys 형태입니다.

 

C:\WINDOWS\system32\esetejx.dll :: BHO 등록 파일
 - MD5 : 36e1f25e1801f598acc5a2e62e190d06
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 11/42)

 

C:\WINDOWS\system32\m7yJ8iyy :: wshtcpip.dll 백업 파일(정상 파일)

※ 해당 파일은 (6~8자리 영문+숫자) 형태입니다.

 

C:\WINDOWS\system32\wshtcpip.dll :: 변경 전 파일 크기(19,456 Bytes) / 변경 후 파일 크기(47,616 Bytes)
 - MD5 : 9857457a9f8252a7bffa676cc56055bb
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 17/42)

 

C:\WINDOWS\system32\wshtcpjx.dll :: (= wshtcpip.dll) / 정상 파일

 

1. "C:\WINDOWS\system32\drivers\5b39b8d7.sys" 악성 드라이버 파일 

감염시 사용자 PC에 설치된 백신 프로그램의 무력화를 목적으로 설치되는 해당 드라이버 파일은 랜덤(Random)한 "(8자리 영문+숫자).sys" 파일명으로 생성되어, 자체 보호 기능이 약한 백신의 경우 완전히 종료되어 실행되지 않도록 제작되어 있습니다.

 

2. "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더 생성 파일 

감염 과정에서 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp" 폴더 내에 생성되는 파일 정보를 살펴보면, zip 압축 파일 형태를 가진 2개의 파일은 정상적인 ws2help.dll(Windows Socket 2.0 Helper for Windows NT), wshtcpip.dll(Windows Sockets Helper DLL) 시스템 파일입니다.

 

또한 랜덤(Random)한 파일명으로 생성된 ws2help.dll 파일 속성값을 가진 2개의 악성 파일은 wshtcpip.dll 시스템 파일을 패치하는데 이용됩니다.

 

3. "C:\WINDOWS\system32\esetejx.dll" BHO 등록 파일 

감염된 환경에서 사용자가 윈도우 탐색기(explorer.exe), Internet Explorer 웹 브라우저(iexplore.exe)를 실행할 경우, 해당 프로세스에 삽입된 esetejx.dll 파일을 통해 특정 악성 서버와 연결을 시도하는 동작을 확인할 수 있습니다. 

생성된 "C:\WINDOWS\system32\esetejx.dll" 파일 속성값을 확인해보면 "cvbo.dll(cvbo Module)" 값을 가지고 있는 것을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : IEHlprObj Class

유형 : 브라우저 도우미 개체

CLSID : {34CF11D2-ACC7-4DE6-BBB8-5FBE05BEE24A}

파일 : C:\WINDOWS\system32\esetejx.dll

  • bns.plaync.com
  • dk.halgame.com
  • heroes.nexon.com
  • nexon.com
  • happymoney.co.kr
  • teencash.co.kr
  • cultureland.co.kr
  • booknlife.com
  • capogames.net
  • dragonnest.nexon.com
  • elsword.nexon.com
  • clubaudition.ndolfin.com
  • netmarble.net
  • itemmania.com
  • itembay.com
  • pmang.com
  • aion.plaync.jp
  • plaync.co.kr
  • maplestory.nexon.com
  • hangame.com
  • fifaonline.pmang.com
  • df.nexon.com
  • baram.nexon.com

해당 파일은 Internet Explorer 웹 브라우저에 브라우저 도우미 개체(BHO)로 등록하여 온라인 게임, 상품권, 아이템 웹 사이트 계정 정보를 수집하는 동작을 확인할 수 있습니다. 

실제 특정 온라인 게임에 접속하여 로그인을 시도할 경우 "blue.qesert.com(205.164.5.109)" 서버로 아이디(ID), 비밀번호, OTP 정보 등을 실시간으로 전송하는 동작을 확인할 수 있습니다.

 

4. "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일 패치 

"C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일을 패치하기 위하여 ① 해당 파일의 기능을 담당할 "C:\WINDOWS\system32\wshtcpjx.dll" 파일 생성 ② wshtcpip.dll 시스템 파일 백업 ③ 악성 wshtcpip.dll 파일로 패치를 진행합니다.

  • 네이버 백신(Naver Vaccine) : NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NaverAgent.exe
  • 알약(ALYac) : AYRTSrv.aye, AYUpdSrv.aye, AYAgent.aye, EstRtw.sys
  • AhnLab V3 : V3LSvc.exe, V3LRun.exe, V3LTray.exe, MUpdate2.exe, AhnFlt2k.sys, AhnFltNt.sys, AhnRec2k.sys, AhnRecNt.sys, AhnRghNt.sys, ahnsze.sys, v3core.sys, v3engine.sys
  • AhnLab SiteGuard : SgSvc.exe, Sgui.exe, SgRun.exe
  • avast! : avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe
  • AVG : avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe
  • Avira AntiVir : avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe
  • BitDefender : updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe
  • ESET NOD32 : egui.exe, ekrn.exe
  • Kaspersky : avp.exe
  • McAfee : shstat.exe, Mctray.exe, UdaterUI.exe
  • MSE : msseces.exe
  • Symantec Norton : ccSvcHst.exe, Navw32.exe

패치된 악성 wshtcpip.dll 파일은 국내외 유명 백신 프로그램의 동작을 방해할 수 있으며, 추가적인 온라인 게임(Dungeon & Fighter, MapleStory, Elsword, Lineage, Diablo 3 등)에 대한 계정 정보 및 OTP 정보를 유출할 수 있습니다.

 

해킹된 웹 서버를 통해 감염을 유발하는 압축 프로그램을 사용하시는 분들은 반드시 감염 여부를 백신 프로그램 또는 수동으로 확인할 필요가 있으며, 수동으로 문제 해결을 원하시는 분들은 다음의 절차를 따르시기 바랍니다.

 

(1) Internet Explorer 웹 브라우저를 실행하여 추가 기능 관리에 등록된 "IEHlprObj Class" 항목을 선택하여 "사용 안 함"으로 변경한 후 웹 브라우저를 종료하시기 바랍니다.(※ 3. "C:\WINDOWS\system32\esetejx.dll" BHO 등록 파일 정보 참조)

 

(2) 루트킷(RootKit) 탐지 및 제거 프로그램 GMER 파일을 실행하여 "Services" 탭에서 시스템 드라이버 폴더에 생성된 랜덤(Random)한 파일명을 가진 "(8자리 영문+숫자).sys" 악성 파일을 찾아 마우스 우클릭을 통해 생성된 하위 메뉴 중 "Delete..." 메뉴를 선택하시기 바랍니다. 

  • C:\WINDOWS\system32\drivers\(8자리 영문+숫자).sys
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\(8자리 영문+숫자)

이를 통해 악성 드라이버 파일과 레지스트리에 등록된 드라이버 값을 자동으로 제거할 수 있습니다. 

추가적으로 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_(8자리 영문+숫자)" 값을 찾아 삭제를 시도하시기 바랍니다.

 

삭제시에는 해당 상위값에 마우스 우클릭을 통해 "사용 권한" 메뉴를 선택하여 "Everyone의 사용 권한""모든 권한 → 허용"에 체크를 한 후, 삭제를 시도하시면 정상적으로 삭제가 이루어집니다.

 

(3) 윈도우 탐색기를 실행하여 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\A1.zip
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\B1.zip
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\dt5.dll :: 랜덤(Random) 파일명 / ws2help.dll 속성값 파일
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\G8J.dll :: 랜덤(Random) 파일명 / ws2help.dll 속성값 파일

(4) 레지스트리 편집기(regedit)를 실행하여 다음의 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\SYS_DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34CF11D2-ACC7-4DE6-BBB8-5FBE05BEE24A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{34CF11D1-ACC7-4DE6-BBB8-5FBE05BEE24A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{34CF11D8-ACC7-4DE6-BBB8-5FBE05BEE24A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{34CF11D2-ACC7-4DE6-BBB8-5FBE05BEE24A}

 

(5) 윈도우 탐색기를 실행하여 다음의 파일의 확장자명을 변경하시기 바랍니다.

  • C:\WINDOWS\system32\esetejx.dll → esetejx.dll-Malware
  • C:\WINDOWS\system32\wshtcpip.dll → wshtcpip.dll-Malware

이 중에서 악성 wshtcpip.dll 시스템 파일의 확장자명을 변경한 후에는 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 wshtcpip.dll 시스템 파일이 생성되므로 반드시 생성 여부를 확인한 후 시스템 재부팅을 진행하시기 바랍니다.

 

(6) 시스템 재부팅을 한 후 추가적으로 다음의 파일을 찾아 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\esetejx.dll-Malware
  • C:\WINDOWS\system32\wshtcpip.dll-Malware
  • C:\WINDOWS\system32\wshtcpjx.dll :: 정상 파일

모든 절차가 완료된 후에는 실행되지 않는 백신 프로그램이 정상적으로 동작하므로 최신 DB 업데이트를 체크한 후 정밀 검사를 하시기 바랍니다.

 

이번 사례와 같이 국내에서 인기있는 소프트웨어의 업데이트 기능을 통해 악성코드 감염을 유발할 수 있으므로, 보안 취약점을 이용한 유포 행위를 근본적으로 차단하기 위해서는 반드시 윈도우를 비롯한 Adobe Flash Player, Oracle JRE 프로그램의 최신 버전을 유지하는 습관을 가지시기 바랍니다.