본문 바로가기
악성코드 정보

파일공유 사이트를 통해 전파된 온라인게임핵 악성코드

by 알 수 없는 사용자 2010. 11. 5.
1. 개요
 최근 파일공유 사이트에 악성코드를 다운로드 하는 악성스크립트가 삽입되어 다수의 사용자가 악성코드에 감염되게 되었습니다. 삽입된 악성 스크립트에 대해 어떤 취약점을 이용하며, 악성코드에 감염될 경우 어떤 증상이 발생하며 그 조치방법에 대해 안내하고자 작성을 합니다.


2. 악성코드 유포 방법
 최근 몇몇 파일공유 사이트에 악성코드를 다운로드 하는 악성 스크립트가 삽입되었습니다. 따라서 이번 주말을 비롯하여 평일에 다수의 사용자가 악성 스크립트가 삽입된 해당 사이트에 방문을 하였고 악성코드에 감염되게 되었습니다.

[그림 1] 안철수연구소 보안통계의 악성코드 배포 URL 통계자료


해당 악성코드는 MS10-018 취약점을 이용하여 EXE 파일을 다운로드 후 실행을 하게 됩니다.

[그림 2] 사이트에 삽입된 MS10-018 취약점을 이용하는 악성 스크립트 일부



3. 악성코드 감염 증상
 해당 악성코드는 imm32.dll 파일을 변조시켜 게임 계정을 탈취하는 기능을 가진 악성코드 입니다. 해당 악성코드에 감염되면 운영체제에서 사용되는 정상파일인 imm32.dll 파일(108kb)을 imm32.dll.log나 imm32.dll.bak로 백업시킨 후 imm32.dll과 같이 동일한 파일명(112kb : 일부악성파일은 사이즈가 다소 차이가 있을 수 있음)으로된 악성파일과 다음과 같은 파일을 생성합니다.
(발견되는 변종에 따라 일부파일은 존재하지 않을 수도 있습니다.)


[참고] 파일사이즈에 따른 정상파일/악성파일 구분방법

C:\Windows\System32\imm32.dll  (108kb) -> 정상파일

C:\Windows\System32\imm32.dll  (112kb) -> 악성파일



4. 악성코드 상세 분석
 악성 스크립트가 삽입된 웹사이트에 방문했을 경우 시스템에 MS10-018 취약점이 존재한다면 악성코드를 다운로드 하게 됩니다. 해당 악성코드는 크게 아래와 같은 기능을 가지고 있습니다.

1) 백신 무력화
2) 온라인 게임 계정 탈취

[그림 3] 악성코드로 인한 온라인 게임 계정 탈취 과정



5. 진단 현황

현재 V3제품군에서는 아래와 같은 진단명으로 진단이 가능합니다.

Dropper/Onlinegamehack.81920
Win-Trojan/Onlinegamehack.86016.CL
Win-Trojan/Patcher.90112.D
Win-Trojan/Patcher.86016
Win-Trojan/OnlineGamehack.57344.BL
Win-Trojan/OnlineGamehack.57344.BQ
Win-Trojan/OnlineGamehack.553248.GR
Win-Trojan/Patched.CD
Win-Trojan/Patched.CG

외 다수



6. 조치 방법
 만약 V3 제품이 설치가 되어 있지 않거나 조치가 어려울 경우 아래 안내해 드리는 전용백신을 통해 조치해 보시기 바랍니다.

1. 아래의 링크를 클릭하시어 v3curesystem_imm32.exe 전용백신을 다운로드 합니다.
[v3curesystem_imm32.exe 전용백신 다운로드 (클릭)]

2. V3 제품의 실시간 감시 기능을 끕니다.

3. 다운로드 받은 전용백신을 실행하여 치료가 완료되면 아래와 그림과 같이 치료완료 및 재부팅 메세지 창이 팝업이 되며 확인 버튼 클릭 후 시스템을 재부팅 해 주시기 바랍니다.



댓글