본문 바로가기
악성코드 정보

usp10.DLL 파일을 이용한 온라인 게임 악성코드

by 알 수 없는 사용자 2012. 10. 22.

온라인 게임에서 사용되는 개인 정보들을 탈취하기 위한 악성코드는 몇 년에 걸쳐서 한국에서 꾸준히 발견되고 있으며, 이제는 매주 주말마다 새로운 변형들을 다양한 웹 어플리케이션 취약점들과 연동하여 유포하고 있다. 이러한 온라인 게임 관련 악성코드에 대해서 ASEC에서는 그 변형들이 악용하는 유포 기법들을 지속적으로 공유하고 잇다.


2011년 10월 - ws2help.dll을 교체하는 온라인 게임 악성코드 분석


2012년 3월 - CVE-2012-0754 취약점을 이용해 전파되는 온라인 게임핵 악성코드


2012년 7월 - XML 코어 서비스 취약점 악용으로 온라인 게임 악성코드 유포


2012년 7월 - GongDa Pack의 스크립트 악성코드 증가


2012년 8월 - YSZZ 스크립트 악성코드의 지속 발견


2012년 10월 - 패치드(Patched) 형태의 악성코드 변천사


이러한 온라인 게임의 사용자 개인 정보 탈취를 목적으로하는 악성코드가 최근에서는 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 악성코드가 발견되었다.


이 번에 발견된 온라인 게임 관련 악성코드는 크게 3가지 부분으로 구분 할 수 있으며, 각각 다음과 같은 기능들을 가지고 있다.


드로퍼(Dropper) - TeminateProcess를 호출하여 보안 소프트웨어 강제 종료 시도


usp10.DLL : 로드 후 자신의 부모 프로세스가 보안 소프트웨어 프로세스 중 하나라면 UnmapViewOfSection 또는 ExitProcess 호출


에브킬(AVKill) 루트킷 : NtOpenProcess와 NtTerminateProcess 후킹 해제하여 보안 프로그램 강제 종료 시도


해당 온라인 게임 관련 악성코드의 드로퍼는 다음 보안 소프트웨어와 시스템 모니터링 툴의 프로세스가 실행 중이라면 강제 종료를 시도하게 된다.



그리고 윈도우 레지스트리(Registry)를 편집하여 다음과 같은 기능을 활성하게 된다.


"숨김 파일 및 폴더를 표시 안함" 설정

세팅하여 "알려진 파일 형식의 파일 확장명 숨기기" 설정


이와 함께 2개의 스레드(Thread)를 생성하여 다음의 기능들을 수행하게 된다.


1) usp10.DLL 생성

드로퍼는 두 개의 PE 파일을 포함하고 있으며, 첫 번째 스레드는 악의적인 usp10.DLL을 C 드라이브를 제외한 모든 드라이브의 모든 폴더에 EXE 파일이 존재하는지 확인 후 해당 DLL 파일을 생성하게 된다. 


그 후 해당 EXE 파일들이 실행 될 경우, 윈도두 시스템 폴더(System32) 폴더에 존쟇는 정상 DLL 파일 대신에 해당 악의적인 usp10.DLL을 먼저 로드 하게 된다. 


2) 다른 악성코드 다운로드 및 정보 유출

두 번째 스레드는 미국에 위치한 특정 시스템에서 다른 악성코드를 다운로드 및 실행 하게 된다.그리고 미국에 위치한 또 다른 특정 시스템으로 감염된 시스템의 MAC 주소와 운영체제 정보를 전송하게 된다.


드로퍼에 의해 생성된 usp10.DLL은 윈도우 시스템 폴더(System32)에 존재하는 정상 usp10.DLL을 로드 한 뒤, 정상 usp10.DLL의 익스포트(Export) 함수들을 리다이렉트(Redirect) 시키게 된다. 그리고 다른 악성코드를 다운로드 및 실행을 시도하나 분석 당시에는 정상적으로 다운로드 되지 않았다. 이와 함께 UnmapViewOfSection이나 ExitProcess를 호출하여 보안 소프트웨어의 프로세스에 대한 강제 종료를 시도하게 된다.


이 번에 발견된 usp10.DLL 파일을 악용하여 보안 소프트웨어를 무력화 기능까지 포함된 온라인 게임 관련 악성코드는 V3 제품 군에서 다음과 같이 진단한다.


Dropper/Win32.OnlineGameHack

Trojan/Win32.OnlineGameHack

Dropper/Win32.OnlineGameHack


향후 출시 예정인 V3 인터넷 시큐리티(Internet Security) 9.0 에 포함 예정인 ASD 2.0의 MDP 엔진에서도 시그니처 없이 다음과 같이 탐지가 가능하다.


Suspicious/MDP.DropMalware

저작자표시 비영리 변경금지

'악성코드 정보' 카테고리의 다른 글

연봉 계약서로 위장한 취약한 한글 파일 발견  (0) 2012.10.26
대통령 선거 관련 내용을 담은 취약한 한글 파일 발견  (0) 2012.10.25
국내 PC 사용자를 대상으로 유포된 아두스카 부트킷  (0) 2012.10.22
국방 관련 내용을 담은 취약한 한글 파일 발견  (0) 2012.10.19
윈도우 도움말 파일을 이용한 악성코드 유포  (0) 2012.10.18

관련글

댓글

티스토리툴바