본문 바로가기

벌새::Analysis

제휴 프로그램을 통해 유포되는 온라인 게임 악성코드 유포 주의 (2013.12.2)

반응형

기존부터 국내 광고 프로그램을 유포하는 경로를 통해 사용자의 PC에서 특정 온라인 게임 정보를 수집할할 목적으로 제작된 악성코드가 주말을 이용하여 또 다시 유포되는 정황을 확인하였습니다.

 

  국내 온라인 게임을 표적으로 한 Windows appcon(remove data) 프로그램 유포 주의 (2013.3.11)

 

이번에 확인한 악성코드는 기존의 루트킷(Rootkit) 방식과 유사하며 추가적으로 Windows XP 운영 체제 사용자를 표적으로 한 Lpk.dll 또는 Usp10.dll 악성 파일을 이용하고 있습니다.

대표적인 유포지와 제휴 프로그램을 확인해보면 블로그 첨부 파일 또는 파일 자료실에 등록된 파일을 사용자가 다운로드하여 실행시 생성되는 "줌파일 다운로더"에 추가된 20종의 제휴 프로그램 중 "나라소프트"를 통해 설치가 이루어지고 있습니다.

  • h**p://muzo112.nanu**net.co.kr/part01.exe (MD5 : 6b3014886acd98bacdfc61dd2967a352) - Kaspersky : Trojan.Win32.Wecod.anqd (VT : 15/48)

이를 제대로 확인하지 않고 실행 또는 저장을 실행할 경우 국내 특정 웹 호스팅 계정에 등록된 설치 파일(part01.exe)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp" 임시 폴더에 생성 및 실행이 이루어집니다.

실행된 파일은 홍콩(HongKong)에 위치한 특정 웹서버로부터 Temp.zip 압축 파일을 추가적으로 "C:\Users\(사용자 계정)\AppData\Local\Temp" 폴더에 다운로드 및 압축 해제합니다.

압축 파일이 해제된 경우 ALZip SFX 실행 압축 파일로 제작된 실행 파일(juscheds.exe)과 Usp10.dll 파일이 해제되어 시스템 감염으로 연결이 이루어지며, 테스트에서는 Windows 7 운영 체제에서는 더 이상의 진행이 되지 않는 것으로 확인되고 있습니다.

 

이에 Windows XP 운영 체제에서는 자동 감염이 정상적으로 이루어지는 것을 확인하였기에 Windows 7 운영 체제 사용자는 임시 폴더에 생성된 3개의 파일만 삭제하시면 됩니다.

 

Windows XP 운영 체제 환경에서 해당 악성코드의 감염 과정 및 감염으로 인한 문제, 삭제 방식에 대해 살펴보도록 하겠습니다.

우선 최초 다운로드된 악성코드 설치 파일(part01.exe)이 실행되어 추가적으로 압축 파일(Temp.zip)을 다운로드하여 압축 해제가 이루어지면 다음과 같은 2개의 파일이 생성됩니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\juscheds.exe <MD5 : 9598b81b50e07b559786a8c7eef4ee01 - Kaspersky : HEUR:Trojan.Win32.Generic (VT : 4/48)>
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\Usp10.dll <MD5 : 23f9aa7378d70a1af4fa651e67853843 - AhnLab V3 : Win-Trojan/OnlinegameHack6.Gen (VT : 42/48)> :: (=Lpk.dll)

압축 해제가 이루어진 후에는 Temp.zip 압축 파일은 자가 삭제 처리되며, ALZip SFX 실행 압축 파일 실행 및 Usp10.dll 파일은 Lpk.dll 파일로 이름을 변경합니다.

 

[생성 파일 및 진단 정보]

 

C:\Program Files\Internet Explorer\Usp10.dll :: (= Lpk.dll)
 - MD5 : 23f9aa7378d70a1af4fa651e67853843
 - AhnLab V3 : Win-Trojan/OnlinegameHack6.Gen (VT : 42/48)

 

C:\WINDOWS\pchealth\helpctr\binaries\Usp10.dll :: (= Lpk.dll)
 - MD5 : 23f9aa7378d70a1af4fa651e67853843
 - AhnLab V3 : Win-Trojan/OnlinegameHack6.Gen (VT : 42/48)

 

C:\WINDOWS\system32\initrealtek.dll
 - MD5 : 6a06b95ae1e0e103175f43493b689bf5

 

C:\WINDOWS\system32\mstsc.msc :: 루트킷(Rootkit) 방식의 메모리 상주 프로세스
 - MD5 : 7aabc6b9cd24886db48c5a6ae407ab72
 - ESET : a variant of Win32/Delf.RLS (VT : 2/47)

 

C:\WINDOWS\system32\wincash.dat

 

C:\WINDOWS\Usp10.dll :: (= Lpk.dll)
 - MD5 : 23f9aa7378d70a1af4fa651e67853843
 - AhnLab V3 : Win-Trojan/OnlinegameHack6.Gen (VT : 42/48)

 

이를 통해 최종적으로 감염이 이루어지면 Internet Explorer 웹 브라우저 폴더 및 Windows 폴더 내부에 Usp10.dll (= Lpk.dll) 파일을 복사하며, Windows 시작시 다음과 같이 자동 실행되도록 하여 치료를 방해할 수 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - winnets = rundll32.exe c:\windows\system32\initrealtek.dll,GetAdapterInfo 0

Windows 시작시 시작 프로그램(Run) 레지스트리 값에 "winnets" 값을 등록하여 "C:\WINDOWS\system32\rundll32.exe" 시스템 파일이 "C:\WINDOWS\system32\initrealtek.dll" 악성 파일을 로딩하도록 구성되어 있습니다.

로딩된 "C:\WINDOWS\system32\initrealtek.dll" 파일은 최종적으로 "C:\WINDOWS\system32\mstsc.msc" 악성 파일을 실행하도록 제작된 파일임을 확인할 수 있습니다.

이를 통해 실행된 "C:\WINDOWS\system32\mstsc.msc" 악성 파일은 루트킷(Rootkit) 방식으로 실행되어 Windows 작업 관리자, Process Explorer와 같은 프로세스 확인 도구로는 확인되지 않도록 되어 있습니다.

감염된 환경에서는 Windows 탐색기(explorer.exe) 프로세스에 "C:\WINDOWS\Usp10.dll (=Lpk.dll)" 악성 파일을 후킹하며, Internet Explorer 웹 브라우저(iexplore.exe)를 실행할 경우 "C:\Program Files\Internet Explorer\Usp10.dll (= Lpk.dll)" 악성 파일이 추가되는 것을 확인할 수 있습니다.

  • C:\WINDOWS\system32\lpk.dll :: 정상 파일(Language Pack)
  • C:\WINDOWS\system32\usp10.dll :: 정상 파일(Uniscribe Unicode script processor)

이들 Usp10.dll 또는 Lpk.dll 악성 파일은 마치 시스템 폴더에 존재하는 정상적인 시스템 파일처럼 위장하여 사용자 눈을 속이고 있으며, 감염 과정 또는 파일 삭제 시도시마다 파일명을 Usp10.dll 또는 Lpk.dll 파일로 재생성할 수 있습니다.

 

또한 기본적으로 Usp10.dll (=Lpk.dll) 악성 파일은 미르의 전설, 월드 오브 워크래프트(World of Warcraft) 온라인 게임을 표적으로 제작되어 있으며, 이번 악성코드에서는 도박성 온라인 게임 정보 수집을 목적으로 제작된 것으로 보입니다.

감염된 시스템 사용자가 한게임(로우바둑이, 라스베가스 포커, 하이로우2, 맞포커, 7포커, 파티훌라), 피망(로우바둑이, 포커, 뉴포커, 하이로우, 맞포커, 훌라), 넷마블(뉴포커, 로우바둑이, 하이로우, 맞포커, 7포커) 등과 같은 도박성 온라인 게임에 접속할 경우 동작이 이루어지도록 제작되어 있습니다.

 

이를 통해 악성코드가 표적으로하는 게임에 접속할 경우 C&C 서버로 게임 화면 전송 또는 추가적인 악성코드 다운로드 등의 악의적 행위가 이루어질 수 있으리라 추정됩니다.

 

이번 악성코드 삭제를 위해서는 반복적인 치료가 필요한 부분이 있으므로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.(※ 보안 제품을 통한 치료시에는 Windows 재부팅 후 정밀 검사를 반복적으로 할 필요가 있을 것으로 보입니다.)

참고로 Usp10.dll (= Lpk.dll) 악성 파일을 찾기 위해서는 반드시 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일 및 폴더 표시"에 체크하시고 파일을 찾으시기 바랍니다.

 

(a) GMER 도구를 다운로드하여 실행하면 자동 검사를 통해 루트킷(Rootkit) 방식의 "C:\WINDOWS\system32\mstsc.msc" 프로세스가 동작 중임을 확인할 수 있습니다.

붉은색으로 표시된 "C:\WINDOWS\system32\mstsc.msc" 프로세스를 마우스 우클릭으로 선택하여 생성된 메뉴 중 "Kill process"를 실행하여 프로세스를 종료하시기 바랍니다.

 

(b) Internet Explorer 웹 브라우저를 반드시 종료한 상태에서 다음의 파일을 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\juscheds.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\Lpk.dll (= Usp10.dll)
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\part01.exe
  • C:\Program Files\Internet Explorer\Usp10.dll (= Lpk.dll)
  • C:\WINDOWS\pchealth\helpctr\binaries\Usp10.dll (= Lpk.dll)
  • C:\WINDOWS\system32\initrealtek.dll
  • C:\WINDOWS\system32\mstsc.msc
  • C:\WINDOWS\system32\wincash.dat

참고로 감염 환경에 따라서는 Usp10.dll 파일은 Lpk.dll 파일로 파일명이 변경되어 있을 수 있습니다.

 

(c) Windows 탐색기(explorer.exe)에 후킹된 "C:\WINDOWS\Usp10.dll (= Lpk.dll)" 악성 파일은 사용자가 삭제를 시도할 경우 "파일 또는 폴더 삭제 오류" 창이 생성되어 삭제가 이루어지지 않습니다.

그러므로 "C:\WINDOWS\Usp10.dll (= Lpk.dll)" 악성 파일을 Usp10.dll-Malware 또는 Lpk.dll-Malware와 같은 형태로 파일 확장자명을 변경하시기 바랍니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 붉은색 레지스트리 값을 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - winnets = rundll32.exe c:\windows\system32\initrealtek.dll,GetAdapterInfo 0

만약 "C:\WINDOWS\system32\initrealtek.dll" 파일만 삭제를 한 후 레지스트리 값을 삭제하지 않을 경우 Windows 시작시마다 "RUNDLL" 오류창을 생성하여 지정된 모듈을 찾을 수 없다는 메시지가 생성됩니다.

 

(e) 반드시 Windows 재부팅을 한 후 다음의 파일을 확인하여 재생성된 악성 파일을 찾아 삭제하시기 바랍니다.

  • C:\Program Files\Internet Explorer\Usp10.dll (= Lpk.dll)
  • C:\WINDOWS\pchealth\helpctr\binaries\Usp10.dll (= Lpk.dll)
  • C:\WINDOWS\Usp10.dll-Malware (= Lpk.dll-Malware)

위와 같은 절차에 따라 악성코드 제거가 이루어진 후에는 반드시 보안 제품을 이용하여 정밀 검사를 통해 추가적으로 확인해 보시길 권장합니다.

 

또한 이번에 유포된 악성코드가 발견된 사용자 PC에서는 다수의 광고 프로그램이 함께 설치되었을 가능성이 높으므로 사용자의 부주의한 실수에 의해 설치된 광고 프로그램을 모두 찾아 삭제하시기 바랍니다.

 

해당 사이버 범죄자 조직은 과거부터 광고 프로그램 속에 숨어서 유포하는 경향이 매우 강하므로 사용자들은 블로그에 첨부된 파일을 다운로드하지 않도록 인터넷 이용 습관을 바꾸시기 바랍니다.

 



728x90
반응형