| 국내 온라인 게임 계정 탈취 목적인 VSLay.dll 악성파일에 대하여 살펴보겠습니다. 해당 악성코드는 변조된 사이트를 통해서 감염된 것으로 추정되며 아마도 Adobe Flash Player 취약점을 이용했을 가능성이 높지 않을까 싶네요..저는 샘플만 가지고 있어 정확한 감염 경로는 확인하지 못했습니다. 카스퍼스키 보안제품에서는 Rootkit.Win32.Agent.bnhw 진단명으로 탐지하고 있습니다. 동적분석을 위해 iexplorer.exe 프로세스에 dll을 삽입한 후 동작여부를 확인 해 보았습니다. VSLay.dll 이 로드되면서 여러가지 파일들이 생성되며 국내 보안제품인 V3Lite, 알약, 네이버백신, 바이러스체이서 등이 설치되어 있는지 확인 하는 것으로 보아 정상적인 사용을 방해 하는 것으로 추정됩니다. 저는 카스퍼스키 제품을 사용중인데 악성코드에 감염이 되면 실시간 감시를 방해하고 있는 것을 확인할 수 있습니다.  |
| 생성파일 정보 |
| C:\Windows\midisappe.dll C:\Windows\image.jpg C:\Windows\ver.dat C:\Windows\wallball.dat C:\Windows\windowswalls.bmp - 숨김파일 C:\Windows\tasks\midisappe.dat - 루트킷 C:\Windows\tasks\nrfsny.dat - 루트킷 C:\Windows\tasks\ahnsvr.dat - 루트킷 C:\Windows\system32\midisappe.dll C:\Windows\system32\drivers\ahnsvr.sys - 루트킷 C:\Windows\system32\drivers\ntfsny.sys - 루트킷 |
| 레지스트리 정보 |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnsvr] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntgsny]  |
midisappe.dll 파일은 explorer.exe 및 iexplorer.exe 외 다수의 프로세스에 로드 되어 있으며 정상적인 midimap.dll(Microsoft MIDI Mapper) 파일인 것처럼 위장하고 있습니다. iexplorer.exe 를 감시하여 사용자가 넥슨, 피망, 한게임, 엔씨소프트, 넷마블등 국내 온라인 게임 사이트 접속 시 해커의 서버로 사용자의 계정을 탈취하고 있습니다. IP추적 결과 해커서버의 위치는 홍콩으로 확인 됩니다.  |
| 악성파일 제거 방법 |
| 루트킷은 커널단에서 실행이 되기 때문에 탐색기에서 보여지지 않기 때문에 설치된 악성파일들을 제거하기 위해서는 루트킷 툴을 이용하여야 합니다. 프리웨어 툴인 GMER 을 다운받아 실행하시면 됩니다. ▶ GMER 다운받기 해당 툴을 실행하면 자동으로 스캔을 시작하며 루트킷이 발견되면 전체 스캔을 하라는 알림창이 뜨는데 시간이 오래걸리므로 무시하시고 [Services, Files] 항목만 체크하여 스캔을 합니다. 스캔이 완료되면 해당 항목을 클릭하여 삭제하시면 됩니다. 나머지 파일은 해당 위치에서 삭제하시면 되고 숨김파일이 있으므로 폴더옵션에서 [숨김파일 및 폴더 표시]에 체크하여야 합니다. 악성파일 제거 후 바이러스 검사를 꼭 하시기 바랍니다.   |
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 검색도우미 :: Addendum-NM (3) | 2011.10.25 |
|---|---|
| [악성코드분석] 검색도우미 :: QuickDomainSearch (2) | 2011.10.24 |
| [정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점 (0) | 2011.10.07 |
| [백신프로그램] 악성코드 치료 프로그램 :: 비즈백신 (0) | 2011.10.07 |
| [악성코드분석] 검색도우미 :: FineTop (4) | 2011.09.30 |