분석 정보/악성코드 분석 정보

[주의]버전(version.dll)파일을 교체하는 악성파일 출현

TACHYON & ISARC 2012. 1. 18. 08:54
1. 개 요

2012년 01월 14일 잉카인터넷 대응팀에서는 국내 이용자를 대상으로 유포된 악성파일이 윈도우OS 의 시스템 파일 중 하나인 version.dll 파일을 악성파일로 교묘하게 바꿔치기 하는 형태를 발견되었다. 이러한 악성파일은 기존에도 다양한 형태로 존재한 바 있는데, 가장 최근까지 ws2help.dll 파일을 악성파일로 교체(Patched)하는 형태가 성행하고 있는 상황이다. 파일명이 변경된 여러 정상 시스템 파일은 악성파일에 의해서 부팅시 정상 실행되는데 만약 중간에 실행 명령이 정상적으로 전달되지 않으면 "무한 재부팅 시도 장애"가 발생할 피해 우려가 존재한다. 특히, 이러한 형태의 악성파일은 주말 기간 집중되어 국내 유명 웹 사이트 경유지를 통해서 다량 전파 중이며, 다양한 보안 취약점을 이용해 특정 사이트 방문만으로도 감염될 수 있다는 점을 잊어서는 안된다.

  


악성파일을 유포하고 있는 악의적 공격자는 주말 기간 인터넷 이용자가 증가한다는 점을 이용해서 각종 인터넷 뉴스, 웹하드 서비스,  분야별 커뮤니티 사이트 등을 집중적으로 해킹하여 보안 취약점이 존재하는 사용자가 웹 사이트 접근 시 접속만으로 악성파일에 자동적으로 감염되도록 구성해 놓고 있으며, 시차별 공격을 통해서 시간에 따라서 변종을 살포하거나 공격 시간대를 자유자재로 제어하고 있다.


아울러 감염자의 실시간 통계를 수치로 산출하기도 하며, 사용중인 운영체제의 버전 하드웨어 정보, Anti-Virus 제품명 등도 탈취를 시도하고 있기도 하다.




2. 악성파일 감염 내용

금번 발견된 악성파일은 윈도우 운영체제의 시스템 파일 중 하나인 version.dll(Version Checking and File Installation Libraries) 파일을 사용자 몰래 악성파일로 교체시킨 후 정상적인 version.dll 파일을 version32.dll 이라는 파일명으로 변경 시켜둔다. 그런 후에 재부팅 시 악성 version.dll 파일은 정상 부팅 과정에 필요한 version32.dll 파일을 대신 실행하도록 하여 정상적으로 부팅이 진행되도록 만든다.

우선 처음 유포되는 숙주(Dropper/EXE 형식) 악성파일이 실행되면 다음과 같은 과정을 수행하고, 시스템 폴더에 존재하는 정상 version.dll 파일을 악성파일로 교체시키는 작업을 수행한다. (한글 Windows XP SP3 기준)

① C:\Windows\System32\safemon.dll - 악성파일 생성
② C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\201211891054.dll - 악성파일 생성
* 생성 dll 파일명은 생성된 시스템 날짜의 "2012+월+일+시+분+초" 내용을 이용한다. 

③ C:\Windows\System32\version32.dll - 정상파일인 version.dll 파일을 version32.dll 파일명으로 변경하여 추가 생성한다.
④ C:\Windows\System32\version.dll -> C:\Windows\System32\201211891054.dll - 정상 파일을 악성파일로 변경
* 정상 version.dll 파일이 악성 version.dll 파일로 변경(교체)된다.

⑤ voor.bat 파일을 생성하여, 숙주 exe 파일과 voor.bat 파일을 스스로 삭제하여, 악성파일 숙주 흔적을 제거한다.

악성으로 교체된 version.dll 파일은 Export 주소를 version32.dll 파일로 Forwarded 시키므로, 부팅 시 정상적으로 시스템 파일 기능을 진행하게 되며, 유명 온라인 게임 계정 등의 탈취를 시도하는 기능을 수행한다.



safemon.dll 악성파일은 레지스트리를 이용해서 브라우저 도우미 개체(BHO:Browser Helper Objects)로 자신을 등록하는데, 이 과정에서 기존에 정상적으로 사용되던 BHO 등록 값들이 모두 강제 삭제될 수 있다. BHO 객체로 등록될 경우 악성파일은 IE(Internet Explorer)가 구동시 자동으로 함께 실행이 된다.

- 기능명 : 브라우저 도우미 개체
- 데이터 : IEHlprObj Class
- CLSID : {D36F9CA2-788F-42DE-A627-9E6EF40D8475}
- 파일명 : C:\WINDOWS\system32\safemon.dll

- 등록값 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}

safemon.dll 악성파일은 이스트 소프트 알약(Alyac) 제품의 업데이트 서비스 모듈처럼 위장하고 있으며, 브라우저 동작 시 아래와 같은 도메인을 감시하고 입력 시도되는 사용자 계정 및 암호를 유출 시도한다.

악성파일로 교체된 version.dll 파일은 국내외 유명 보안 제품들의 정상적인 실행을 방해하기 위한 기능을 수행하며, 특정 프로세스를 강제 종료 시도한다.



3. 수동 조치 방법

※ 악성파일의 안전한 수동 조치 진행을 위하여 현재 실행 중인 응용프로그램(인터넷 익스플로러 등)을 모두 종료한다.

악성파일들의 파일명(확장자) 등을 변경하고, 일부 악성 레지스트리 값들을 삭제하고 재부팅하면 간단하게 악성파일을 수동으로 제거할 수 있다.

ⓐ 시스템 폴더(C:\Windows\System32) 에 존재하는 version.dll 악성파일의 이름(확장자 등)을 변경한다.
예) version.dll -> version.dll-

일반적인 정상 version.dll 파일과 악성 version.dll 파일은 파일 크기를 통해서 육안으로 구분이 가능하다. (한글 윈도우 XP SP3 기준)

 

정상 version.dll 파일 : 18,994 바이트
악성 version.dll 파일 : 66,560 바이트 (변종에 따라 크기는 가변적일 수 있다.)


ⓑ 악성파일의 파일명(확장자)이 변경되면 윈도우 파일 보호기능(WFP)에 의해서 정상파일이 보관 중인 dllcache(C:\Windows\System32\dllcache\version.dll) 폴더에서 아래 그림과 같이 정상 파일이 자동으로 복원된다.

파일명이 변경된 악성파일(version.dll-)은 현재 실행(감염) 중이기 때문에 바로 삭제를 할 수는 없고, 재부팅 후에 삭제가 가능하다.

safemon.dll 파일의 경우 Explorer.exe 프로세스에 의해서 실행 중이기 때문에 즉시 삭제는 불가능하며, Explorer.exe 파일을 강제 종료하거나 다음과 같이 파일명을 변경한 후 재부팅 후에 삭제한다.
예) safemon.dll -> safemon.dll-

ⓓ 레지스트리 편집기(시작버튼 -> 실행 -> regedit.exe)를 실행한 후 추가된 악성 레지스트리 값들을 삭제한다.

아래의 값들을 순차적으로 찾고, 해당 레지스트리 값을 선택하고 마우스 우측 버큰 클릭을 통해서 삭제를 수행한다. (주의!) 레지스트리는 시스템 구동에 매우 중요한 부분이므로, 반드시 악성 레지스트리와 일치하는 값만 주의깊게 살핀 후 삭제를 진행하여야 한다. 시스템 레지스트리가 잘못 삭제되는 경우 예기치 못한 장애가 발생할 수 있다.

악성파일 감염으로 인하여 추가된 악성 레지스트리 항목들은 다음과 같다.

[삭제 대상 악성 레지스트리 8 항목] - 반드시 일치하는 경우만 삭제할 것!

- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_DLL
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\HOOK_ID
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D36F9CA1-788F-42DE-A627-9E6EF40D8475}
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D36F9CA8-788F-42DE-A627-9E6EF40D8475}
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D36F9CA2-788F-42DE-A627-9E6EF40D8475}

ⓔ 시스템을 재부팅 한 후에 다음과 같은 파일을 검색하여 수동으로 삭제한다.

- C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\2012(월일시분초).dll-
- C:\WINDOWS\system32\2012(월일시분초).dll
- C:\WINDOWS\system32\safemon.dll-
- C:\WINDOWS\system32\version32.dll
- C:\WINDOWS\system32\version.dll-



4. 예방 조치 과정


위와 같은 악성파일은 이미 여러차례 지난 글들을 통해 넓은 감염 범위, 다양한 피해 사례 발생(온라인 게임 계정 정보 탈취, 인터넷 뱅킹 사용시 간헐적 브라우저 종료 현상)등을 언급한 바 있다.

또한, 악성파일 유포에 자주 사용되는 Flash Player 취약점, JAVA(JRE) 취약점을 보완하기 위해서 항상 최신 버전을 설치하고 사용하도록 한다. 

악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 위와 같은 악성파일에 대해 신종 및 변종 모두 진단/치료가 가능한 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일을 신종 및 변종에 상관 없이 모두 치료가 가능한 Generic 진단/치료 기능을 지속적으로 제공할 예정에 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.