울지않는벌새 : Security, Movie & Society

안카메라(Ancamera)를 통한 온라인 게임핵 유포 사과문 (2013.3.26)

벌새::Security

지난 주말을 이용하여 (주)이비즈네트웍스 업체에서 제공하는 회원 가입을 통해 사용할 수 있는 화면 캡처 프로그램 안카메라(Ancamera) 프로그램의 업데이트 파일 변조를 통한 온라인 게임핵(OnlineGameHack) 악성코드 유포와 관련된 사과문이 게재되었습니다.

출처 : 안카메라(Ancamera) 홈 페이지

  [오류] 안카메라 서비스 이용장애 사과문 (치료방법 안내) (2013.3.23)

 

  <처리의 블로그> 안카메라(AnCamera), 변조된 업데이트 파일에서 생성되는 온라인게임 스파이웨어 감염 주의!! (2013.3.25)

 

2013년 3월 22일 금요일 오후 9시경부터 3월 24일 이후까지 감염을 유발하였을 것으로 추정되는 해당 악성코드로 인하여 온라인 게임, 문화 상품권 등의 계정 정보가 유출되는 사고가 발생하였을 것으로 보입니다.

당시 유포 조건으로는 사용자가 안카메라 프로그램 실행을 통해 생성되는 "안카메라 긴급 업데이트 안내"창이 생성될 경우, 사용자가 업데이트 진행과 상관없이 백그라운드 방식으로 자동 감염이 이루어지는 방식으로 유포가 이루어졌습니다.

 

해당 업데이트 창 생성은 안카메라 업데이트 서버 해킹을 통해 변조된 업데이트 파일을 통해 감염이 이루어졌으며, 개인적으로 확인된 업데이트 변조 파일은 최소 2종 이상이 있을 것으로 보입니다.

  • AnCamera_20130304_update_5.exe (MD5 : aef74a3396f888481ab02330a9b825d1) - AhnLab V3 : Backdoor/Win32.Cidox (VirusTotal : 30/46)
  • AnCamera_20130304_update_5.exe (MD5 : 35ad4549bc68f93c49c4ac826fcd4a11) - Microsoft : PWS:Win32/OnLineGames.AH (VirusTotal : 29/46)

변조된 업데이트 파일 내부에는 정상적인 안카메라 업데이트 설치 파일과 온라인 게임핵 설치를 위한 악성 설치 파일이 XOR 암호화 방식으로 추가되어 있었으며, 실행시 "C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\64ff7.exe" 파일 패턴으로 생성되어 감염을 진행합니다.(※ 해당 파일은 (5자리 영문+숫자).exe 형태입니다.)

  • 64ff7.exe (MD5 : 5e2146e6cf45308d32b93fb1ee2e09b4) - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 33/46)

특히 Windows XP 운영 체제에서는 정상적으로 감염이 이루어지며, Windows 7 운영 체제에서는 품질 문제로 감염에 실패하였을 것으로 보입니다.

  • C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\uTYHYyf.dll
  • C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\wfuuYg.dll
  • C:\WINDOWS\system32\drivers\43d1f219.sys :: (8자리 영문+숫자).sys
  • C:\WINDOWS\system32\kakutk.dll
  • C:\WINDOWS\system32\midimap.dll
  • C:\WINDOWS\system32\wshtcpip.dll
  • C:\WINDOWS\system32\wshtcptk.dll

이를 통해 감염시 43d1f219.sys 악성 드라이브 파일을 통한 보안 제품 무력화, kakutk.dll 파일을 통한 브라우저 도우미 개체(BHO) 등록을 통한 정보 유출, wshtcpip.dll 시스템 파일 패치 등의 악성 파일을 다수 생성하게 됩니다.

감염이 이루어진 시스템에서 Windows 탐색기 또는 웹 브라우저를 실행시 미국(USA)에 위치한 특정 서버(banana.polezr.com / gum.afmkng.com)로 연결을 시도하는 동작도 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : IEHlprObj Class

유형 : 브라우저 도우미 개체

CLSID : {AB705622-B25B-491B-A6BF-4A46FDDBC88E}

파일 : C:\WINDOWS\system32\kakutk.dll

 

특히 웹 브라우저 실행을 통해 온라인 게임(넥슨, 한게임, 아이온, 피망, 넷마블, 배틀넷 등), 문화 상품권(BooknLife, Cultureland, TeenCash 등), 아이템 거래(Itembay), Siren24 아이핀 인증 등의 계정 정보가 외부로 유출될 수 있습니다.

안카메라(Ancamera) 프로그램을 사용하던 사용자 중 당시 긴급 업데이트 창을 목격하신 사용자의 경우 사용 중이던 보안 제품을 통해 차단을 하지 못하였다면 감염이 예상되므로 전용 백신 또는 사용하시는 보안 제품을 이용하여 정밀 검사를 진행하시기 바랍니다.

특히 전용 백신을 이용하시는 사용자는 검사 및 치료 완료 후 실시간 검사 기능을 제공하는 보안 제품을 통해 추가적으로 정밀 검사를 병행하시기 바랍니다.

 

참고로 해당 악성코드와 관련된 주요 진단명은 안랩(AhnLab) 기준으로 Trojan/Win32.OnlineGameHack, Trojan/Win32.KillAV, Win-Trojan/PatchedA.Gen 입니다.

 

또한 치료가 완료된 사용자는 온라인 게임 계정 정보를 중심으로 동일(유사)하게 사용되는 비밀번호는 모두 교체하시는 것이 차후 피해를 예방할 수 있는 방법입니다.

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4) (2013.3.17)

 

이전에 온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법에 대해 시리즈로 작성한 글에서도 보안 취약점을 이용한 유포 방식 이외에 정상적인 소프트웨어 해킹을 통해서도 감염을 시킬 수 있는 사례를 소개하였으므로 사용자들은 각별히 주의하셔야 합니다.