본문 바로가기
악성코드 분석

Win-Trojan/Onlinegamehack.126246

sec_karas 2012. 11. 26. 14:51

개요

2012년도 국내에서 백신업체를 통해 접수된 악성코드 피해신고 가운데 가장 많이 피해 신고 접수가 된 악성코드는 온라인게임 계정을 탈취하는 '온라인게임핵'(ONLINEGAMEHACK)'악성코드 이다. 해당 악성코드의 주요 특징은 C&C 서버를 통해서 명령을 주고 받는 형식이 아닌 이미 악성코드 내부에 코딩된 주소를 통해서 정보를 탈취하게 된다

상세 분석

<Virustotal 결과>

<시스템 모니터링툴 탐지&분석툴 탐지>

해당 악성코드는 시스템에서 시스템 모니터링툴 또는 분석툴이 동작하면 탐지해서 악성코드의 실행을 방지하고 있다. FileMon,RegMon,Olidbg등 시스템 모니터링툴과 분석툴등에 대해서 악성코드 실행이전에 프로세스로 올라가 있다면 해당 악성코드는 실행을 중지하고 중국어 메시지 박스를 노출 시킨다. 이로 인해서 파일의 생성과정,레지스트리 생성 과정등 분석을 방해할려는 의도로 추정된다.

 

<패킹 존재>

패킹 여부를 간단하게 판단하기 위해서 PEID를 통해서 확인한 결과 패킹한 흔적이 존재한다. 위의 시스템 모니터링 툴,분석툴을 탐지하는 기술은 해당 특정한 패커의 패킹 기술로 추정된다.

동적 분석

 

악성코드를 실행 하게 되면 두개의 파일을 추가로 생성한다.

c:\WINDOWS\system32\ws2help.dll.랜덤.tmp
c:\WINDOWS\system32\ws2helpXP.dll

두 파일은 ws2help.dll 파일의 원본 백업 파일입니다. c:\WINDOWS\system32\ws2help.dll.랜덤.tmp 파일의 경우 시스템 재부팅시 삭제 처리됩니다.

 

c:\WINDOWS\system32\ws2help.dll
Old date: 4-14-2008 9:00 PM
New date: 11-26-2012 2:55 PM
Old size: 19,968 bytes
New size: 98,304 bytes

기존에 있던 정상파일에 대해서 변경한 흔적이 있습니다. 기존 ws2help.dll 파일의 경우 19,968 bytes 였지만 변조된후 98,304 bytes로 변경된걸 확인할수 있습니다.

 

현재 아이디(ID), 비밀번호, OTP 정보 등을 수집하는 타켓 사이트는 목록과 같으며, 온라인 게임 중 디아블로 3(Diablo 3),던전앤파이터,메이플 스토리등도 노리고 있는 것을 확인할 수 있습니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- AppInit_DLLs = :: 변경 전
- AppInit_DLLs = ws2help.dll :: 변경 후

AppLnit_DLLs 레지스트리 등록 user32.dll을 로딩하는 모든 프로세스에 인젝션 시키도록 하고있으며 부팅 시 자동으로 인젝션 시키기 위해서 변조한 부분입니다. 시스템 재부팅시 자동으로 user32.dll을 로딩하는 모든 프로세스에 인젝션 됩니다.

 

해당 악성코드는 현재 계정유출사이트가 막히지 않은 상태라서 악성코드가 유출하는 사이트 목록중 넷마블 사이트를 접속해서 아이디와 비밀번호를 입력하면 악성코드 코드안에 있는 특정 루틴을 찾아서 복호화 시키고 복호화 시킨 서버로 아이디와 비밀번호를 전송하게 됩니다.

 

와이어 샤크를 통해 패킷을 보면 게임계정유출사이트주소를 통해서 아이디와,비밀번호를 전송하는걸 볼수 있습니다.

 

악성코드에 있는 문자열을 통해서 hosts 파일의 변조하고 안랩의 ASD 서버에 대해서 무력화 시키는것으로 추정됩니다.


여러가지 각종 국내외 보안 제품의 기능을 무력화 시킵니다. 만약 악성코드 실행 이전에 위에 나와있는 백신이 존재할시 백신을 강제 종료 시키고 악성코드가 실행됩니다.

백신의 경우 설치 후 시스템 재부팅을 해도 자동으로 실행할수 있게 서비스에 등록되어서 작동하게 된다. 하지만 악성코드에 감염되면 시스템 재부팅을 해도 백신이 실행되지 않으며 악성코드 감염이후 백신을 실행하면 실행이 불가능합니다.

 디코딩 루틴을 통해서 복호화를 진행하면 악성코드의 계정유출지가 보이게 됩니다. 위의 주소로 아이디와 비밀번호가 넘어가게 됩니다.

'악성코드 분석' 카테고리의 다른 글

Trojan/Win32.Magania  (0) 2012.12.04
Rootkit.Win32.Tiny.jm  (0) 2012.12.02
Trojan.Win32.Hosts2.gen  (0) 2012.12.01
Trojan:Win32/KillDisk.I  (0) 2012.11.29
Backdoor:Win32/PcClient.ZR  (1) 2012.11.27

'악성코드 분석' Related Articles

티스토리툴바