Ec0nomist's Lab.

※ 뒤늦은 분석입니다. 양해바랍니다.ㅠㅠ

1. 악성코드 감염 경로 : 주말에 찾아오는 손님 중 하나인  Adobe Flash Player, Java, Internet Explorer, 윈도우 취약점을 포함한 악성코드가 삽입되어진 웹 사이트로부터 감염.

2. 악성코드 생성 파일 경로 및 정보(바이러스토털 진단 결과 확인)

C:\Windows\System32\olesau32.dll(숨김 파일)

혹은 C:\Windows\olesau32.dll

해당 악성코드의 경우 숙주파일 샘플이 있는게 아니라 그냥 감염 파일만 샘플로 파악한거라 해당 파일이 var.dat를 생성하고 등등의 것은 파악할 수 없는 점에 양해바랍니다. 

MD5 :  d312f836c6fb5e417fbf9834810fe538

File Size : 67KB

--바이러스토털 진단 요약(36/47) --

AhnLab-V3 : Spyware/Win32.Gampass

ViRobot :  Trojan.Win32.S.PSWIGames.68608.BT

3. 악성코드의 기능

1) 악성코드 분석 방해하기 위해 Vmware 등의 가상운영체제에서 활동을 안 하도록 설계(샌드박스 기능 우회화 및 무효화)

2) 온라인 게임 계정 탈취를 위한 특정 사이트, 프로세스, 레지스트리 값 감시 및 특정 서버 전송

(1) 게임 사이트 감시 : kt.hangame.com(한게임)

tera.hangame.com(한게임 Tera)

.hangame.com(한게임)

poker.hangame.com(한게임 포커)

maplestory.nexon.com(넥슨 메이플스토리)

df.nexon.com(넥슨 & 네오플의 던전앤파이터)

fifaonline3.nexon.com(넥슨의 피파온라인3)

tales.nexon.com(넥슨의 테일즈위버)

asgard.nexon.com(넥슨의 아스가르드)

lod.nexon.com(넥슨의 어둠의 전설)

heroes.nexon.com(넥슨의 마비노기 영웅전)

baram.nexon.com(넥슨의 바람의 나라)

(2) 특정 웹 사이트 감시 및 계정 탈취 : 네이트온 접속 시 ID/PW 감시

        피망

        넷마블 ID/PW감시

        블레이드 앤 소울(특정 부분 값 감시)

        다음(www.daum.net)

        리니지2

        리니지

        메이플스토리 E-Mail(ID)/PW, OTP, 

                   AOS(Ahnlab 보안 모듈) 무력화

        던전앤파이터 ID/PW

        그 외에는 (1) 게임사이트 감시와 중첩되기에 생략

※ 각 게임 별로 유출된 정보는 각기 다른 파일에 저장이 됩니다.

(2) 특정 프로세스 감시 : KRITIKA_Client.exe(한게임 크리티카)

      PMangAgent.exe(피망 Agent)

      PMClient.exe(피망 클라이언트)

      fifazf.exe(피파온라인 3) 

      ArcheAge.exe(아키에이지)

      NGM.exe(넥슨 게임 매니저)

      HgSel.exe(한게임 관련 프로그램)

      Poker.exe(한게임 포커)

      \DNF.exe(던전앤 파이터)

 (3) 특정 레지스트리 감시 : SOFTWARE\Nexon\Mabinogi(마비노기)

     SOFTWARE\NC Soft\Lineage(리니지)

     Software\Wizet\MapleStory(메이플스토리)

     Software\DNF(던전앤 파이터)

     SOFTWARE\Nexon\Heroes\ko-KR(마비노기 영웅전)

3) 백신 무력화(프로세스 감시 및 루트킷 무력화)

(1) V3 Lite, V3 365 Clinic 루트킷 무력화 시도

(2) 백신과 관련된 레지스트리 감시 :  SOFTWARE\NHN Corporation\NaverVaccine(네이버 백신)

      SOFTWARE\ESTsoft\ALYac(알약)

      SOFTWARE\AhnLab\V3 365 Clinic(V3 365 Clinic)

      SOFTWARE\AhnLab\V3Lite(V3 Lite)

      SOFTWARE\Microsoft\Windows\CurrentVersion\Run

        ▶ AhnLab V3Lite Tray Process(V3 실시간 감시)

(3) 백신 및 키보드 보안 모듈 프로세스 감시 및 무력화

      V3 Lite 제품 : MUpdate2.exe, V3LRun.exe, V3Light.exe, V3LSvc.exe, V3LTray.exe

         Ahnlab Online Security : aosrts.exe

4. olesau32.dll 치료방법

안전모드로 들어가신 뒤 루트킷 전문 제거 도구인 Gmer를 이용하여 C:\Windows\ 

혹은 C:\Windows\System32\ 내에 있는 olesau32.dll을 제거해주시기 바랍니다.

(아래의 스크린샷은 실제 경로가 아닌 점 양해바랍니다.)

Gmer 루트킷 전문 제거 도구 사이트 다운

olesau32.dll & ahnurl.sys(op ahnurla.sys)를 지우려면 다음과 같이 Gmer를 이용해주시기 바랍니다.

(1) Service에서 ahnurl or ahnurla 제거

     (C:\Windows\System32\Drivers\ahnurl.sys or ahnurla.sys)

(2) C:\Windows\olesau32.dll or C:\Windows\system32\olesau32.dll 제거