개그콘서트 끝나고 제 방 와서 인터넷에서 잠시 악성코드 샘플 좀 수집하고 있었는데 갑자기 초코플레이어 사이트가 보이면서 '게시판' 쪽에 악성코드를 삽입해둔 것 같은 링크가 보였습니다. 그래서 그 샘플을 얼른 다운받아서 바이러스 토털 및 악성코드 자동 분석 도구를 이용해보니 역시나 온라인게임핵 악성코드였습니다. ㄷㄷ;; 해당 악성코드는 아마 웹 취약점이 있을 가능성이 높은 구 '초코플레이어' 특정 게시판에 삽입이 되어 만일 PC 내에 Adobe Flash Player, Java, 윈도우 취약점 등을 가지고 있으면 쉽게 감염되어 백신 무력화 현상과 온라인게임핵(게임 계정 해킹) 가능성이 높습니다.




hxxp://www.chxcoxxaxxr.com/bxxrd/xatx/xhx/lg.exe(해당 링크는 2차 감염을 막고자 비공개 처리하겠습니다.)



입수한 악성코드의 샘플의 바이러스 토털 진단 결과는 다음과 같습니다.



lg.exe(Virustotal 34 / 48)   자세한 결과 보기


AhnLab-V3 Trojan/Win32.Hupe

BitDefender Gen:Trojan.Heur.GM.1004030420

Sophos Mal/TDSSPack-AH



V3, 알약 엔진은 진단하고 nProtect, ViRobot 백신은 미진단하고 있습니다. 해당 백신 이용시 주의를 기울여주시기 바랍니다.


해당 악성코드의 경우 AntiVM 기능이 포함되어 있어서 실제 VMWare 환경에서 테스트하는데 제한이 되어 어쩔 수 없이 간략하게 해당 악성코드의 특징만을 언급하겠습니다.


해당 악성코드 실행시 다음과 같은 경로에 악성코드를 생성합니다.




C:\Windows\System32\Kerogod.dll          Virustotal 진단 결과 보기(9 / 46)

>> 농협 등의 금융 사이트 해킹 기능(파밍이 아닌 '메모리 해킹' 악성코드) + 온라인 게임 핵 기능


MD5 : 6ae478db7ad4c771f5833a2bf73fe33c

AhnLab-V3 Trojan/Win32.OnLineGames

AntiVir TR/PSW.OnlGame.1258

Avast Win32:OnLineGames-GGZ [Trj]


C:\Windows\System32\version.dll    Virustotal 진단 결과 보기 ( 22 / 48)

>> 온라인게임 핵 기능 + 백신 무력화 기능


MD5 : 33de9449b9f19fc2b59fd1ff64cf0cc8

AhnLab-V3 Trojan/Win32.Urelas

BitDefender Gen:Variant.Graftor.78242

nProtect Trojan/W32.Forwarded.Gen


C:\Windows\System32\Vorsion.dll

>> 본래 Version.dll 정상파일

MD5 : 702254574e7e52052de39408457b7149


C:\Windows\System32\s7Gtehfd7

>> 본래 Version.dll 정상파일

MD5 : 702254574e7e52052de39408457b7149


C:\Windows\System32\Drivers\(영어, 숫자 랜덤 8자리).sys     Virustotal  진단 결과 보기 

>> 루트킷으로 온라인게임핵 기능 + 백신 무력화 기능

MD5 : 013aafddb4d1cbf95f3ca50611ba6cd7


AhnLab-V3 Trojan/Win32.Wgames

BitDefender Gen:Variant.Zusy.78898

ViRobot Trojan.Win32.PSWIGames.36128




C:\Users\(사용자 계정)\Appdata\Local\Temp\A1.zip    Virustotal 진단 결과 보기 

>> 정상파일 Ws2help.dll 백업 

MD5 : 90affacb3c4f110ba63df2be93f2e41a


C:\Users\(사용자 계정)\Appdata\Local\Temp\B1.zip    Virustotal 진단 결과 보기

>> 정상파일 wshtcpip.dll 백업

MD5 : 0b14dfd82a538cf8933435397dbc4925


C:\Users\(사용자 계정)\Appdata\Local\Temp\C1.zip     Virustotal 진단 결과 보기
>> 정상파일 version.dll 백업

MD5 : 6ddf2d7e4f60752b9832b574f4198428

 

C:\Users\(사용자 계정)\Appdata\Local\Temp\D1.zip     Virustotal 진단 결과 보기

>> 정상파일 midimap.dll 백업

MD5 : 743cac2a53ba132d086853141246d7d7


C:\Users\(사용자 계정)\Appdata\Local\Temp\(영어, 숫자 랜덤 9자리).dll   Virustotal 진단 결과 보기

>> 악성파일 Version.dll 백업


MD5 : 33de9449b9f19fc2b59fd1ff64cf0cc8

AhnLab-V3  Trojan/Win32.Urelas

BitDefender  Gen:Variant.Graftor.78242

nProtect  Trojan/W32.Forwarded.Gen


C:\Users\(사용자 계정)\Appdata\Local\Temp\(영어, 숫자 랜덤 6자리).dll    Virustotal 진단 결과 보기

>> 악성파일 Version.dll 백업본으로 추정


MD5 : d78178d6dfe94d4926e7bd0a8e61a639

AhnLab-V3  Trojan/Win32.Urelas

BitDefender  Gen:Variant.Graftor.78242

nProtect  Trojan/W32.Forwarded.Gen


C:\Users\(사용자 계정)\Appdata\Local\Temp\(영어,숫자 랜덤 7자리)      Virustotal 진단 결과 보기

>> 정상파일 midimap.dll 백업본

MD5 : 5a12c364ad1d4fcc0ad0e56dbbc34462





여기까지 간략하게 파일 생성 분석하고 이제 구체적으로 루트킷 악성코드 sys 파일하고 Version.dll, Kerogod.dll이 어떤 역할을 수행하는지 


1. Kerogod.dll의 기능


   1) 메모리 해킹 : 메모리 해킹 기법은 파밍과 같이 '금융권 사이트을 이용하는 사용자의 금융 정보를 타켓으로 하지만 실제 공격하는 기법이 다릅니다. 이번에 발견된 Version.dll의 경우 특정 프로세스 내에 Dll Injection하는 기법으로 금융 정보를 탈취하는 것으로 추정이 됩니다. 메모리 해킹 대상 사이트는 다음과 같습니다.


      (1) 농협 사이트(Banking.nonghyup.com)

      (2) 우리은행(Wooribank.com)

      (3) KB국민은행(kbstar.com)

      (4) 우체국(epostbank.go.kr)

      (5) 기업은행(ibk.co.kr)

      (6) 외환은행(keb.co.kr)

      (7) 신한은행(shinhan.com)


   2) 온라인 게임 핵 기능 : 마찬가지로 한게임, 넥슨, 메이플스토리 사이트를 감시하면서 ID/PW를 탈취하는 기능을 가지고 있습니다.



2. Version.dll의 기능


    1) 백신 무력화 기능 : 국내 백신인 V3, 알약, 네이버 백신 등의 해외 백신까지 무력화하는 역할을 가지고 있습니다. 추가적으로 국내 백신에 대하여 백신 무력화를 세부적으로 하는 것으로 추정이 됩니다. 목록은 다음과 같습니다.

         

      (1) Ahnlab V3 Lite 제품 : V3LTray.exe, V3LSvc.exe, V3LRun.exe, V3Lite.exe

      (2) Ahnlab V3 Internet Security 제품 : V3SP.exe, Mupdate2.exe, V3Up.exeV3SVC.exe

      (3) Ahnlab SiteGuard 제품 : sgui.exe, sgsvc.exe, sgrun.exe

      (4) Ahnlab ASP : MYSFTY.exe

      (5) Ahnlab Online Security(키보드 보안 모듈) : Aosrts.exe

      (6) Ahnlab Smart Defense(ASD 클라우딩 진단 기능) : ASDSvc.exe

      (7) Antivir 제품 : avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, 

                        avupgsvc.exe, avwsc.exe

      (8) Avast 제품 : avastsvc.exe, ashupd.exe, avastui.exe

      (9) AVG 제품 : avgemc.exe, avgam.exe, avgnsx.exe, avgupd.exe 

                    avgwdsvc.exe, avgfrw.exe, avgrsx.exe

      (10) BitDefender 제품 : VSSERV.EXE, updatesrv.exe,  bdagent.exe

                            bdreinit.exe, seccenter.exe,

      (11) Eset : egui.exe, ekrn.exe

      (12) Kaspersky(카스퍼스키) 제품 : Avp.exe

      (13) McAfee : shstat.exe, mctray.exe, udaterui.exe

      (14) MSE : msseces.exe

      (15) Symantec Norton : ccsvchst.exe, navw32.exe

      (16) 네이버 백신 : NaverAgent.exe, Nsavsvc.npc, NSVMon.npc, NVCAgent.npc

      (17) 알약 : AYRTSRV.aye, AYupdsrv.aye, AYAgent.aye



         그리고 감시되는 레지스트리 및 서비스는 다음과 같습니다.


HKLM\SYSTEM\CurrentControlSet\Services\Naver Updater

HKLM\SYSTEM\CurrentControlSet\Services\Nsvmon

HKLM\SYSTEM\CurrentControlSet\Services\Nsavsvc

HKLM\SYSTEM\CurrentControlSet\Services\ALYac_UpdSrv

HKLM\SYSTEM\CurrentControlSet\Services\ALYac_RTSrv

HKLM\SYSTEM\CurrentControlSet\Services\V3 Service

HKLM\SYSTEM\CurrentControlSet\Services\V3 Lite Service


V3ElamDr.sys, EstRtwIFDrv.sys, EstCst.sys, AhnRghNt.sys, AhnRec2k.sys, AhnFlt2k.sys

AMonTDNt.sys, AMonTDLH.sys, AMonLWLH.sys, AMonHKNT.sys, AMonCDW8.sys, AMonCDW7.sys

    

    2) 웹 브라우저 무력화 기능 : 크롬 웹브라우저(Chrome.exe), 파이어폭스 웹 브라우저(Firefox.exe)가 무력화됩니다.


    3) 온라인게임핵 기능 : 게임과 관련된 특정 프로세스를 감시하면서 게임 ID/PW을 유출하는 기능을 가지고 있습니다. 대상은 다음과 같습니다.


              (1) 던전앤 파이터

              (2) 메이플스토리

              (3) 엘소드

              (4) 리니지 클라이언트




3. Drivers\에 있는 루트킷 악성코드 - 쓰레기 값이 있어서 보이는 값만 골라서 했습니다. 그점 양해바랍니다.ㅠㅠ

     (1) 백신 무력화 기능 : Ayagent.aye(알약), egui.exe, ekrn.exe(Eset 백신)

    (2) 온라인게임핵 기능 : maplestory.exe(메이플스토리), winbaram.exe(바람의나라),

                          heroes.exe(마비노기 영웅전)




>> Version.dll, Kerogod.dll 악성코드 진단 / 치료 방법?


해당 악성코드는 알약의 전용백신으로 진단 / 치료가 가능합니다. 일반 Normal-Mode(일반 표준모드)에서 악성코드를 진단/치료할 경우 치료율이 떨어질 수 있기 때문에 가급적이면 안전모드로 들어가서 이용해주시면 치료율이 높아집니다.^^   알약 전용백신 다운





# Version.dll 악성코드 설명 중 vsserv.exe를 모르고 Telus라고 표기한 점 정정하였습니다.(죄송합니다 ㅠㅠ)

  알약 전용백신을 이용한 치료방법에 대해 조금 설명을 덧붙였습니다.

(2014.01.23 02:00분 수정)

Posted by Ec0nomist

댓글을 달아 주세요