※ 뒤늦은 분석입니다. 양해바랍니다.ㅠㅠ
1. 악성코드 감염 경로 : 주말에 찾아오는 손님 중 하나인 Adobe Flash Player, Java, Internet Explorer, 윈도우 취약점을 포함한 악성코드가 삽입되어진 웹 사이트로부터 감염.
2. 악성코드 생성 파일 경로 및 정보(바이러스토털 진단 결과 확인)
C:\Windows\System32\olesau32.dll(숨김 파일)
혹은 C:\Windows\olesau32.dll
해당 악성코드의 경우 숙주파일 샘플이 있는게 아니라 그냥 감염 파일만 샘플로 파악한거라 해당 파일이 var.dat를 생성하고 등등의 것은 파악할 수 없는 점에 양해바랍니다.
MD5 : d312f836c6fb5e417fbf9834810fe538
File Size : 67KB
--바이러스토털 진단 요약(36/47) --
AhnLab-V3 : Spyware/Win32.Gampass
ViRobot : Trojan.Win32.S.PSWIGames.68608.BT
3. 악성코드의 기능
1) 악성코드 분석 방해하기 위해 Vmware 등의 가상운영체제에서 활동을 안 하도록 설계(샌드박스 기능 우회화 및 무효화)
2) 온라인 게임 계정 탈취를 위한 특정 사이트, 프로세스, 레지스트리 값 감시 및 특정 서버 전송
(1) 게임 사이트 감시 : kt.hangame.com(한게임)
tera.hangame.com(한게임 Tera)
.hangame.com(한게임)
poker.hangame.com(한게임 포커)
maplestory.nexon.com(넥슨 메이플스토리)
df.nexon.com(넥슨 & 네오플의 던전앤파이터)
fifaonline3.nexon.com(넥슨의 피파온라인3)
tales.nexon.com(넥슨의 테일즈위버)
asgard.nexon.com(넥슨의 아스가르드)
lod.nexon.com(넥슨의 어둠의 전설)
heroes.nexon.com(넥슨의 마비노기 영웅전)
baram.nexon.com(넥슨의 바람의 나라)
(2) 특정 웹 사이트 감시 및 계정 탈취 : 네이트온 접속 시 ID/PW 감시
피망
넷마블 ID/PW감시
블레이드 앤 소울(특정 부분 값 감시)
다음(www.daum.net)
리니지2
리니지
메이플스토리 E-Mail(ID)/PW, OTP,
AOS(Ahnlab 보안 모듈) 무력화
던전앤파이터 ID/PW
그 외에는 (1) 게임사이트 감시와 중첩되기에 생략
※ 각 게임 별로 유출된 정보는 각기 다른 파일에 저장이 됩니다.
(2) 특정 프로세스 감시 : KRITIKA_Client.exe(한게임 크리티카)
PMangAgent.exe(피망 Agent)
PMClient.exe(피망 클라이언트)
fifazf.exe(피파온라인 3)
ArcheAge.exe(아키에이지)
NGM.exe(넥슨 게임 매니저)
HgSel.exe(한게임 관련 프로그램)
Poker.exe(한게임 포커)
\DNF.exe(던전앤 파이터)
(3) 특정 레지스트리 감시 : SOFTWARE\Nexon\Mabinogi(마비노기)
SOFTWARE\NC Soft\Lineage(리니지)
Software\Wizet\MapleStory(메이플스토리)
Software\DNF(던전앤 파이터)
SOFTWARE\Nexon\Heroes\ko-KR(마비노기 영웅전)
3) 백신 무력화(프로세스 감시 및 루트킷 무력화)
(1) V3 Lite, V3 365 Clinic 루트킷 무력화 시도
(2) 백신과 관련된 레지스트리 감시 : SOFTWARE\NHN Corporation\NaverVaccine(네이버 백신)
SOFTWARE\ESTsoft\ALYac(알약)
SOFTWARE\AhnLab\V3 365 Clinic(V3 365 Clinic)
SOFTWARE\AhnLab\V3Lite(V3 Lite)
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
▶ AhnLab V3Lite Tray Process(V3 실시간 감시)
(3) 백신 및 키보드 보안 모듈 프로세스 감시 및 무력화
V3 Lite 제품 : MUpdate2.exe, V3LRun.exe, V3Light.exe, V3LSvc.exe, V3LTray.exe
Ahnlab Online Security : aosrts.exe
4. olesau32.dll 치료방법
안전모드로 들어가신 뒤 루트킷 전문 제거 도구인 Gmer를 이용하여 C:\Windows\
혹은 C:\Windows\System32\ 내에 있는 olesau32.dll을 제거해주시기 바랍니다.
(아래의 스크린샷은 실제 경로가 아닌 점 양해바랍니다.)
Gmer 루트킷 전문 제거 도구 사이트 다운
olesau32.dll & ahnurl.sys(op ahnurla.sys)를 지우려면 다음과 같이 Gmer를 이용해주시기 바랍니다.
(1) Service에서 ahnurl or ahnurla 제거
(C:\Windows\System32\Drivers\ahnurl.sys or ahnurla.sys)
(2) C:\Windows\olesau32.dll or C:\Windows\system32\olesau32.dll 제거
'국내 악성코드 정보' 카테고리의 다른 글
| 유토렌트(Utorrent)와 유사한 악성코드 주의! (0) | 2014.01.08 |
|---|---|
| svchsot.exe 악성코드 간단 정보 (0) | 2014.01.07 |
| 백신무력화 및 온라인 게임 계정 탈취범 olesau32.dll 간단분석 및 치료방법 (0) | 2013.12.28 |
| wshtcpip.dll 간단 분석 및 치료방법(부제 : 백신, 익스플로러, 크롬, 파이어폭스 실행이 안될 때..) (1) | 2013.12.27 |
| 금융감독원 사칭한 파밍, 호스트 파일 변조 악성코드 간단 분석(hosts, hosts.ics) (11) | 2013.12.24 |
| RpcSvc.psd 악성코드 치료에 관하여 (0) | 2013.12.17 |
댓글을 달아 주세요