본문 바로가기

벌새::Analysis

LOL Trainer 프로그램을 이용한 시스템 동작 방해 주의 (2013.1.20)

최근 국내에서 제작된 것으로 추정되는 온라인 게임 리그 오브 레전드(LOL : League of Legends)의 특정 트레이너(Trainer) 프로그램을 이용하여 시스템을 사용할 수 없도록 방해하는 악성 프로그램이 확인되었습니다.

 

문제의 파일은 loltrainersetup.exe 파일(MD5 : a2517c515f3c8cad3dcb7d80e6da4de9)명을 가지고 있으며, Norman 보안 제품에서는 W32/Malware.AGEBE (VirusTotal : 6/46) 진단명으로 진단되고 있습니다.

설치 파일을 실행하면 해외에서 제작된 것처럼 구성된 "League of Legends Trainer 1.61" 버전이 설치 단계에 따라 설치가 이루어집니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\바탕 화면\League of Legends.lnk

C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\League of Legends Trainer
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\League of Legends Trainer\League of Legends.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\League of Legends Trainer\Uninstall.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\League of Legends Trainer\Website.lnk
C:\Program Files\League of Legends Trainer
C:\Program Files\League of Legends Trainer\League of Legends Trainer.url
C:\Program Files\League of Legends Trainer\LOLTrainer.exe
C:\Program Files\League of Legends Trainer\uninst.exe
C:\WINDOWS\LOLTrainer.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\League of Legends Trainer\LOLTrainer.exe
 - MD5 : 9aed09699f44fecfb07ee68dfc556c5d
 - AVG : unknown virus Win32/DH{OQ9C} (VirusTotal : 5/46)

 

C:\WINDOWS\LOLTrainer.exe
 - MD5 : 9aed09699f44fecfb07ee68dfc556c5d
 - AVG : unknown virus Win32/DH{OQ9C} (VirusTotal : 5/46)

설치가 완료된 프로그램은 "C:\Program Files\League of Legends Trainer" 폴더에 파일을 생성하며, 정상적인 프로그램처럼 바탕 화면에 바로가기 아이콘을 생성하여 프로그램을 실행하도록 유도하고 있습니다.

바탕 화면 바로가기 아이콘(League of Legends.lnk)은 "C:\Program Files\League of Legends Trainer\LOLTrainer.exe" 파일을 실행하도록 되어 있으며, 그 이전까지는 프로그램 설치로 인해 시스템에 아무런 영향을 주지 않습니다.

우선 생성된 "C:\Program Files\League of Legends Trainer\LOLTrainer.exe" 파일의 Time Date Stamp 값에는 2013년 1월 15일경에 제작된 것으로 확인이 되고 있습니다.

 

1. "C:\Program Files\League of Legends Trainer\LOLTrainer.exe" 파일 코드 분석

(1) Internet Explorer 웹 브라우저 실행시 "불법 · 유해 정보(사이트)에 대한 차단 안내" 페이지 연결

이를 통해 해당 프로그램은 국내에서 제작된 것으로 추정되며, 실제 동작에서는 PC 환경에 따라 웹 브라우저 실행 자체가 제약 받을 수도 있습니다.

 

(2) "C:\WINDOWS\system32\taskkill.exe" 프로세스 실행을 통해 Windows 작업 관리자, Windows 탐색기 실행 불가

TASKKILL /F /IM TASKMGR.EXE

TASKKILL /F /IM EXPLORER.EXE

실행된 LOLTrainer.exe 파일은 taskkill.exe 파일(Kill Process(프로세스 종료) 기능 수행)을 로딩하여 Windows 작업 관리자(taskmgr.exe), Windows 탐색기(explorer.exe)을 실행하지 못하게 합니다.

 

(3) 시작 프로그램 등록

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Legends = C:\Program Files\League of Legends Trainer\LOLTrainer.exe 1

자신(LOLTrainer.exe)을 시작 프로그램으로 등록하여 시스템 시작시 자동으로 실행되도록 합니다.

 

(4) 사용자를 속이기 위해 "How To Use" 창 생성

바탕 화면 바로가기 아이콘을 클릭하여 LOLTrainer.exe 파일을 최초 실행하면 "How To Use" 창이 생성되어 정상적인 League of Legends Trainer 프로그램인 것처럼 구성한 것 같습니다.

 

2. 동적 분석 및 해결 방법

위와 같은 방식으로 실행된 프로그램은 "TASKKILL.exe - 응용 프로그램 오류" 창을 생성하여 작업 표시줄 종료 등 정상적인 PC을 하지 못하게 합니다.(※ Windows XP 운영 체제와는 다르게 Windows 7 운영 체제에서는 권한 문제로 시스템 재부팅시에는 LOLTrainer.exe 파일이 정상 동작하지 않는 것으로 보입니다.)

 

또한 시스템 재부팅 이후에도 위와 동일한 오류창 생성 문제로 프로그램 삭제를 할 수 없도록 방해를 하므로, 다음과 같은 절차에 따라 프로그램을 제거하시기 바랍니다.

 

(1) 오류창 생성으로 PC 종료를 할 수 없는 경우에는 본체의 파워(Power) 스위치를 클릭한 후, 시스템 재부팅 과정에서 F8 버튼을 통해 안전 모드(Safe Mode)에 접속하시기 바랍니다.

제시된 "Windows 고급 옵션 메뉴"에서는 "안전 모드(네트워킹 사용)" 메뉴를 선택하여 진행을 하시기 바랍니다.

 

(2) 안전 모드 환경에서 제어판의 "프로그램 추가/제거"에서 "League of Legends Trainer 1.61" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.

프로그램 삭제 후에는 Windows 탐색기를 통해 "C:\Program Files\League of Legends Trainer" 폴더 및 "C:\WINDOWS\LOLTrainer.exe" 파일이 삭제되었는지 확인하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 추가적으로 생성된 시작 프로그램 레지스트리 값을 찾아 수동으로 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Legends = C:\Program Files\League of Legends Trainer\LOLTrainer.exe 1

모든 조치가 완료된 후에는 시스템 재부팅을 통해 정상적으로 윈도우에 진입하시면 문제가 해결됩니다.

 

만약 제어판을 통한 프로그램 삭제에 실패한 사용자는 안전 모드에서 생성 폴더(파일), 레지스트리 값을 참조하여 수동으로 삭제를 진행하시기 바랍니다.

 

개인적으로 게임 트레이너를 사용한 경험이 없어서 모르겠지만, 이처럼 정상적인 트레이너 프로그램처럼 제작하여 실행시 PC를 사용할 수 없도록 방해하는 악의적인 사례가 존재하므로 주의하시기 바랍니다.