시스템 파일을 변조하는 온라인 게임핵 악성코드 변경

1. 서론
최근 윈도우 시스템 파일을 악성으로 변조하는 온라인 게임핵 악성코드가 다수 발견되고 있다. 이러한 악성코드는 대부분 웹사이트를 통해 유포되는데 계속해서 새로운 변종을 만들고 있어 많은 사용자가 감염이 되어 정보공유 차원에서 작성을 한다.


2. 악성코그 감염 경로
해당 악성코드는 웹사이트를 통해 유포되며 유포방법은 총 3가지 취약점을 이용한다.

1) Adobe Flash Player, CVE-2011-0611
위 취약점은 SWF 파일을 이용한 취약점으로 주소 banner숫자.swf, nb.swf 등의 파일명으로 유포가 이루어 진다. 분석을 해보면 아래와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인할 수 있다.

[그림 1] SWF 파일 분석 화면



해당 쉘코드를 분석하면 아래와 같이 jpg을 받아 실행함을 알 수 있다. 확장자는 jpg나 실제로는 이미지 파일이 아닌 악성코드 파일이다.

[그림 2] 쉘코드 분석 후 최종 다운로드 받는 URL을 확인한 화면




2) Adobe Flash Player, CVE-2011-2110
해당 취약점은 지난 6월 15일에 보안 업데이트가 나온 취약점으로 가장 최근에 나온 취약점이다. 현재 국내의 다수 사용자가 여전히 해당 보안 업데이트를 하지 않은 상황이라 이로 인해 많은 감염자가 발생하고 있다.

분석을 하면 암호화 된 URL이 있으며 이를 해제하면 아래와 같이 TXT 파일을 받아 실행한다. 이 TXT 파일은 역시 악성코드가 암호화 된 파일이며 아래와 같이 암호화를 해제하면 정상적인 윈도우 실행 파일임을 확인할 수 있다.

[그림 3] 암호화 된 URL 및 파일




3) Internet Explorer, CVE-2010-3962, MS10-090
2010년에 나온 인터넷 익스플로러 취약점으로 여전히 이 취약점도 악성코드 유포에 많이 이용되고 있다.

[그림 4] 인터넷 익스플로러 취약점 분석 과정 중 일부 화면




따라서 악성코드 감염을 예방하기 위해서는 위 취약점들에 대한 보안 업데이트를 하여야 한다. 업데이트 방법은 아래와 같다.

1) Adobe Flash Player 업데이트 방법
http://core.ahnlab.com/302

2) Internet Explorer 업데이트 방법
http://core.ahnlab.com/221



[표 1] 보안 취약점에 대한 업데이트 방법




3. 감염 시 나타는 증상
해당 악성코드 감염 시 웹브라우져가 정상적으로 실행이 되지 않고 종료된다거나 시스템이 느려지는 증상이 발생한다. 그리고 기존에는 윈도우 시스템 파일 중 imm32.dll, lpk.dll 파일을 변경하였다.

윈도우 시스템 파일을 변조하는 악성코드 주의 : http://core.ahnlab.com/294
imm32.dll 교체 악성코드, 당신 PC의 권한을 탐하다. : http://core.ahnlab.com/283
윈도우 정상 파일을 악성코드로 교체하는 Win-Trojan/Agent.30904.H : http://core.ahnlab.com/280
imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0 : http://core.ahnlab.com/267
악성코드로 인한 imm32.dll 파일 변조 조치 가이드 : http://core.ahnlab.com/173





[표 2] 기존에 나왔던 윈도우 시스템 파일을 변조하는 악성코드 관련 내용

하지만 이번에 변경되는 파일은

ws2help.dll 파일이다.

악성코드 감염을 확인할 수 있는 방법은 아래와 같이 C:WindowsSystem32 폴더에서 ws2help.dll 파일을 찾아 확인하였을 시 20KB 정도의 사이즈면 정상이나, 아래와 같이 32,802KB 등과 같이 사이즈가 크다며 악성코드에 감염된 것이다. 추가로 정상 파일은 ws3help.dll 로 백업하는 것으로 확인되었다.

[그림 5] 악성코드 감염 시 비정상 적으로 사이즈가 커진 파일





4. 감염 시 치료 방법
해당 악성코드에 감염된 경우 아래 안철수연구소 홈페이지에서 제공하는 전용백신을 이용하여 치료를 할 수 있다.

[그림 6] 전용백신으로 해당 악성코드를 검출한 화면

전용백신 다운로드

http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3_gamehackkill.exe




0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments