분석 정보/악성코드 분석 정보

[정보]톡플레이어 설치본과 특정 백신 제품으로 위장한 악성파일

TACHYON & ISARC 2012. 6. 4. 16:18

1. 개요


최근 "디아블로3"의 발매와 함께 온라인 게임 계정 정보 탈취를 시도하는 악성파일의 활동 또한 활발해지고 있다. 사실, 온라인 게임 계정 정보를 탈취하는 악성파일의 문제는 어제 오늘의 일이 아니며, 국내에 유포되는 악성파일중 가장 높은 유포 비율을 보이고 있는 실정이다. 이는 온라인 게임에서 사용되는 아이템이나 게임머니가 실제 현금으로 거래되며, 금전적 이득을 취할 수 있기 때문이다. 보통 이러한 악성파일의 경우 주로 공격자가 보안에 취약한 웹 사이트를 해킹하여 악성파일을 삽입하고, 해당 사이트의 접속 등을 통해 자동으로 감염을 유발하는 경우가 대부분이다. 


그러나 이번에 발견된 악성파일의 경우에는 접속에 따른 감염이 아니라 동영상 플레이어 배포 사이트에서 제공하는 정식 설치 모듈을 아예 악성파일로 교체해 유포를 시도하기 때문에 보다 각별한 주의가 요망되고 있다.

 

[긴급]동영상 재생 플레이어 변조를 통한 DDoS 악성파일 유포
http://erteam.nprotect.com/217

[주의]디아블로3 사용자 계정 탈취용 악성파일 국내 등장
http://erteam.nprotect.com/288
  

2. 유포 경로 및 감염 증상


해당 악성파일은 동영상 플레이어 설치본으로 위장되어 아래의 그림과 같이 해당 모듈의 홈페이지를 통해 유포가 이루어 졌으나, 현재는 아래 빨간색 박스의 URL과 같이 정상적인 설치본이 다운로드되고 있다.

 


해당 동영상 플레이어는 온라인 게임을 즐기는 사용자들 사이에서 게임을 즐기면서 동시에 동영상 까지 감상하는 용도로 널리 사용되고 있다. 때문에 악성파일이 유포되었을 당시에 다수의 사용자들이 감염되었을 가능성이 있다.

해당 악성파일은 아래의 그림과 같이 아이콘을 통해 정상파일악성파일간의 육안상 비교가 가능하다.


◆ 악성 동작

해당 악성파일(TokPlayerSetup.exe)은 다운로드 후 실행될 경우 아래와 같은 악의적인 동작을 수행할 수 있다.

- 분석을 방해할 목적으로 Anti-Debug 기능 수행
- 추가적인 악성파일 다운로드(www.(생략).info/i.gif) 수행
- 자신의 복사본 생성
- 부팅시 마다 실행될 수 있도록 레지스트리 값 등록

우선, 해당 악성파일은 InternetCheckConnection()을 통해 "http://www.naver.com"을 인자로 받아 인터넷 연결 상태를 확인한다.


그 후 아래와 같이 wininet.dll의 InternetReadfile()을 통해 추가적인 악성파일(i.gif)파일의 다운로드를 시도 할 수 있다.

 


이때, 다운로드되는 추가적인 악성파일(i.gif)은 0x95로 XOR 암호화가 되어 있고 다운로드가 이루어지면서 아래와 같이 복호화과정을 거친 후 시스템 날짜 등의 정보를 통해 임의의 5자리 영문자 또는 숫자로된 파일명으로 변경되어 "사용자 임시 폴더"에 저장된다.


또한, 자신의 복사본을 "윈도우 시스템 폴더"에 복사하며, 부팅시마다 실행될 수 있도록 레지스트리 값을 등록한다. 특이한 점은 해당 악성 파일이 파일명과 레지스트리 값을 안랩 V3 제품군 모듈명과 비슷하게 위장하고 있다는 점이다.

 

※ 다운로드 파일 및 생성파일

- 윈도우 시스템 폴더\V3LiveRun.exe (53,248 바이트, TokPlayerSetup.exe의 복사본)
- 사용자 임시 폴더\i.gif (120,832 바이트)
- 사용자 임시 폴더\(임의의 5자리 영문자/숫자).exe(120,832 바이트, i.gif의 복호화 파일)

※ 레지스트리 등록 값

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- 이   름 : "AhnLab V3Lite Update Process"
- 데이터 : "윈도우 시스템 폴더\V3LiveRun.exe"

☞ 일반적으로 "사용자 임시 폴더"란 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp를 의미한다.
☞ 일반적으로 "윈도우 시스템 폴더"란 C:\WINDOWS\system32를 의미한다.

이렇게 다운로드된 i.gif 파일은 XOR복호화 후 실행되어 아래와 같은 추가적인 파일들을 생성하게 된다.

※ 생성파일

- 윈도우 시스템 폴더\ws2help.dll (42,652 바이트)
- 윈도우 시스템 폴더\ws2helpXP.dll (19,968 바이트, 정상파일)
- 윈도우 시스템 폴더\ws2help.dll.(임의의 3자리 영문자).tmp (19,968 바이트, 정상파일)

- 윈도우 시스템 폴더\HIMYM.dll (42,652 바이트, 윈도우 7의 경우 생성)

☞ 일반적으로 "윈도우 시스템 폴더"란 C:\WINDOWS\system32를 의미한다.

위와 같이 생성된 ws2help.dll은 Export Address Table을 통해 아래의 그림과 같이 노출된 API 들을 확인할 수 있으며, 이중 악성으로 확인된 DW는 아래와 같은 레지스트리 값 등록을 통해 실행중인 프로세스상에 자신을 인젝션 시키게 된다.


※ 윈도우 7 사용자의 경우

다만, 윈도우 7의 경우 ws2help.dll파일에 대한 변조는 이루어지지 않는 것으로 확인되고있으며, 윈도우 시스템 폴더에 HIMYM.dll파일을 생성 후 같은 경로의 레지스트리 값을 등록할 수 있다.

그후 감염 PC의 프로세스에 대한 전역 후킹과 접속한 웹 사이트의 URL 후킹 기법을 통해 국내 유명 온라인 게임의 계정 정보 탈취를 시도하게 된다. 아래의 그림은 그 일부 화면이다.


※ 프로세스 감시 목록

- wow.exe
- MapleStory.exe
- lin.bin
- dnf.exe
- ff2clinet.exe
- WinBaram.exe
- heroes.exe
- DragonNest.exe
- Raycity.exe

※ 접속한 웹 사이트 감시 목록

- gamehi.co.kr
- hangame.com
- netmarble.net
- pmang.com
- df.nexon.com


또한, ws2help.dll은 위와 같이 온라인 게임의 실행 여부 확인 작업과 동시에 감염 PC상에 로딩되어 있는 백신 제품을 검색한 뒤 강제종료를 시도할 수 있다.


※ 백신 제품 감시 목록

- V3제품군
- 알약
- 네이버 PC그린
- 바이러스체이서


마지막으로 위와 같이 특정 조건에 의해 수집된 온라인 게임 계정 정보는 아래와 같은 특정 주소로 유출 시도될 수 있다.


3. 예방 조치 방법

위와 같이 온라인 게임 계정 정보를 탈취하는 악성파일의 경우 주로 주말 기간을 통해 중점적으로 유포가 시도된다. 이는 주말을 통해 온라인 게임을 즐기는 사용자가 많기 때문에 이를 이용해 계정 정보를 통한 금전이득을 취하기 위함이다. 또한, 해당 악성파일의 중점적인 유포 사이트가 일반 사용자의 이용빈도가 상당히 높은 인터넷 뉴스, 웹 하드 사이트이기 때문에 감염이 이루어져 발생할 수 있는 피해 범위는 상당히 광범위 할 수 있다. 이러한 가운데 온라인 게임을 즐기는 사용자들이 게임과 함께 자주 이용하는 동영상 플레이어의 설치본으로 위장한 계정 정보 탈취 악성파일이 발견되었다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

5. 온라인 게임 계정에 대한 OTP(One-Time Password) 설정.


※ 잉카인터넷 대응팀에서는 위와 같은 온라인 게임 계정 정보 탈취형 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.