본문 바로가기

조치 가이드

게임 계정 탈취. OnlineGameHack [Cyban] 조치가이드


이번 포스트에서는 최근들어 급증하고 있는 온라인게임핵(Cyban) 의 증상과 조치방법에 대해 살펴보겠습니다.


◆ 증 상

특정 사이트에서 악성코드를 다운로드+드랍하고 아래와 같은 동작들을 수행합니다.

 < 캡쳐된 패킷 >

1. 온라인게임사이트 계정정보 탈취

- 악성코드는 인터넷익스플로러에 인젝션되어 아래 그림과 같이 하드코딩된 특정 게임사이트의 목록에서 쿠키값(ID,PW 등)을 노립니다.

 
<
게임사이트 목록 >

....
....
var b=LOGIN.getCookieValue("CAT");if(b.length>0){var a=b.split("+");if(a.length>1){return a[1];}}return"2";
....
....
< 쿠키값 탈취하는 코드의 일부 >

2. 키보드로깅
- 악성코드는 실행중인 프로세스에 인젝션되어 Key정보를 후킹합니다.
 
< dll 인젝션 >



3. Autorun 을 이용한 자동실행 + 확산, File 숨기기
 - Autorun 취약점을 이용하여 악성코드를 이동디스크매체를 통해 퍼뜨리고, 자신을 은폐하기 위해 레지스트리를 조작합니다.

< inf file내용 >


< 탐색기-숨김폴더보기 레지스트리 + 부팅실행 레지스트리 >



4. 안티바이러스를 무력화시키는 AV Kill
 - 아래 그림과 같이 A.V(안티바이러스) 프로세스들의 이름들이 저장되어 있으며, 해당되는 프로세스들의 실행을 방해합니다.

< A.V 리스트 >

◆ 조치방법

현재 v3 최신버젼으로 업데이트 하실 경우, 아래와 같이 진단 및 삭제가 가능합니다.




만약 다른 제품을 쓰시는 분이라면 수동으로 아래의 악성파일들을 삭제하면 됩니다.

c:\windows\system32\ieban(숫자).dll
c:\windows\system32\cyban(숫자).dll
c:\windows\system32\cyban.exe
c:\(랜덤영문+숫자).exe



파일이 숨겨져 있어서 안보일 경우, 아래의 링크들을 참조하셔서 삭제하시기 바랍니다.

은폐된 악성파일 수집 및 삭제 방법(Gmer)

의심파일 수집 방법(ICESword)



◆ 예방 방법

1) 신뢰할 수 없는 곳에서 유포된 프로그램(게임핵프로그램 등 불법프로그램 포함)은 다운로드하거나 실행하지 않습니다. 
* 악성코드는 불법프로그램을 통해서 주로 유포됩니다. *

2) 주기적인 업데이트로 V3 제품을 항상 최신엔진으로 유지하며, 실시간 감시 기능을 활성화합니다.

3) 웹 페이지를 통해 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 설치합니다.

4) 윈도우 취약점을 이용한 악성코드 감염을 예방하기 위해 Windows Update 를 통해 윈도우 보안 패치를 확인하고 설치합니다.

  • 요시 2010.01.18 17:59 댓글주소 수정/삭제 댓글쓰기

    게임을 많이 하는 편인데 ㅠㅠ..
    정말 좋은 정보 됬습니다 ㅎㅎ 감사해요^ㅠ^

  • 좋은 정보 되셨다니 다행이네요.^^
    앞으로 더 좋은 자료로 보답하겠습니다~

  • 미친바이러스 2010.01.27 00:07 댓글주소 수정/삭제 댓글쓰기

    온라인 게임 하다가 돈+템 다 털려서 봤더니 이게 깔려있네요

    v3로 찾아내서 지워도 거의 3시간마다 계속 깔리고 깔리고 삭제즉시 자동으로 깔리는듯해요

  • 당근나무 2010.01.27 02:52 댓글주소 수정/삭제 댓글쓰기

    저도 오늘 D:드라이브 열었는데 처음보는 폴더 3개, .exe파일 1개 있더군요.
    혹시나 싶어 알씨로 C: , D: 를 검사해 봤는데 C:에서 스파이웨어 2개가 발견이 됬다고 하네요.
    지금도 계속 검사중인데 어디서 얼마나 더 나올지 모르습니다.
    위에 "미친바이러스"님처럼 삭제를 했는데 계속해서 생겨나면 어떻게 해야 할지;;;
    일단 검사중인거 마져 해보고 삭제/치료까지 해봐야 겠습니다.
    문제 생기면 V3로 다시한번 해봐야겠습니다.

  • qkrgodyd99 2010.01.28 19:46 댓글주소 수정/삭제 댓글쓰기

    cyban0.dll 이라는 파일이 있는데 V3라이트로 걸리기는 하는데 치료가 안되요 정확히는 치료됫다고 하는데 계속 또 떠요 파일 찾아서 삭제 해보려해도 안되고 고클린 파일강제삭제도 안되네요ㅠㅜ 포멧이 답인가요..?

  • 치료가 된 후에 또 재감염되는 현상이 반복된다면 해당 악성코드를 생성하는 다른 악성코드가 있는 경우가 대부분입니다.
    http://core.ahnlab.com/25
    위 링크를 참고하셔서 대응팀으로 신고해 주세요!

    파일을 수동삭제하고 싶으시면, 아래의 링크를 참고하셔서 ICESWORD, Gmer등의 툴로 삭제해주시면 됩니다^^
    http://core.ahnlab.com/18
    http://core.ahnlab.com/19

  • NELL 2010.04.14 17:00 댓글주소 수정/삭제 댓글쓰기

    헐? ㅋ 아까바이러스치료했을때저거나왔는데...... (아무것도모르고있기에치료한 ㅇ<-<)

  • 그체유저 2010.04.15 00:19 댓글주소 수정/삭제 댓글쓰기

    ㅋㅋ그체영자님좋은자료감사합니다

  • 조티 2010.05.03 17:49 댓글주소 수정/삭제 댓글쓰기

    아... 저거때문에 계정해킹피해 2번씩이나 봤습니다 ㅠㅠ

    던파, 메이플 이렇게 두개의 게임에서 계정해킹피해를 봤네요...

    학교 컴퓨터에 저 바이러스가 깔려있어서

    USB를 통해 전염이 된듯 합니다.

    -_-;; 무슨 학교컴퓨터에 백신도 없고...(제가 D드라이브에 저장시켜놓고 깔아서 사용중...)

    게다가 시스템종료 후 부팅하면 다시 되돌아가서 -_-;; 안죽어요...

  • 그체(ㅋㅋ) 2010.05.04 14:51 댓글주소 수정/삭제 댓글쓰기

    감사 감사 이렇게 좋은 자료 주시는거 ㄳ