개요
악성코드 개요
Trojan-PWS.Win32.OnLineGames 악성코드는 2012년도 국내에서 백신업체를 통해 접수된 악성코드 피해신고 가운데 가장 많이 피해 신고 접수가 된 악성코드로 온라인게임 계정을 탈취하는 악성 코드다. 특이점으로 계정 탈취 목록에서 1월에 오픈한 아키에이지에 대해서 추가 했으며 지속적으로 악성코드에 대해서 업데이트 하는것으로 추정된다.
MD5:3ac3104e300213c5ec752dfb445438bd
생성파일 정보 요약
|
파일 생성 정보
C:\WINDOWS\usp10.dll (악성 파일) |
<패킹 결과>
| AhnLab-V3 |
X |
| BitDefender(알약) |
O |
| nProtect |
X |
| ViRobot |
X |
<국내 주요 백신 결과>
VirusTotal 점검 내역
| Antivirus | Result | Update |
|---|---|---|
| Agnitum | - | 20130208 |
| AhnLab-V3 | - | 20130208 |
| AntiVir | TR/Dropper.Gen | 20130208 |
| Antiy-AVL | - | 20130208 |
| Avast | Win32:Patched-AMK [Trj] | 20130208 |
| AVG | PSW.OnlineGames4.AGFD.dropper | 20130208 |
| BitDefender | Dropped:Trojan.Generic.KDV.848267 | 20130208 |
| ByteHero | - | 20130207 |
| CAT-QuickHeal | - | 20130208 |
| ClamAV | - | 20130208 |
| Commtouch | W32/OnlineGames.HQ.gen!Eldorado | 20130208 |
| Comodo | - | 20130208 |
| DrWeb | - | 20130208 |
| Emsisoft | Gen:Trojan.Generic.ji0@aSLdoAkH (B) | 20130208 |
| eSafe | - | 20130206 |
| ESET-NOD32 | a variant of Win32/PSW.OnLineGames.QBT | 20130208 |
| F-Prot | W32/OnlineGames.HQ.gen!Eldorado | 20130201 |
| F-Secure | Dropped:Trojan.Generic.KDV.848267 | 20130208 |
| Fortinet | W32/Onlinegames.QTB!tr | 20130208 |
| GData | Dropped:Trojan.Generic.KDV.848267 | 20130208 |
| Ikarus | Trojan-PWS.Win32.OnLineGames | 20130208 |
| Jiangmin | Heur:Trojan/PatchFile | 20130207 |
| K7AntiVirus | Riskware | 20130207 |
| Kaspersky | HEUR:Trojan.Win32.Generic | 20130208 |
| Kingsoft | Win32.Troj.Undef.(kcloud) | 20130204 |
| Malwarebytes | - | 20130208 |
| McAfee | Artemis!3AC3104E3002 | 20130208 |
| McAfee-GW-Edition | Artemis!3AC3104E3002 | 20130208 |
| Microsoft | TrojanDownloader:Win32/OnLineGames.C | 20130208 |
| MicroWorld-eScan | Dropped:Trojan.Generic.KDV.848267 | 20130208 |
| NANO-Antivirus | - | 20130208 |
| Norman | OnLineGames.NVMY | 20130208 |
| nProtect | - | 20130208 |
| Panda | Trj/CI.A | 20130208 |
| PCTools | - | 20130208 |
| Rising | Trojan.PSW.OnLineGames!421C | 20130205 |
| Sophos | - | 20130208 |
| SUPERAntiSpyware | - | 20130208 |
| Symantec | - | 20130208 |
| TheHacker | - | 20130208 |
| TotalDefense | - | 20130208 |
| TrendMicro | TROJ_GEN.R47CDB8 | 20130208 |
| TrendMicro-HouseCall | TROJ_GEN.F47V0208 | 20130208 |
| VBA32 | BScope.Trojan.SvcHorse.01643 | 20130208 |
| VIPRE | Trojan-PWS.Win32.OnLineGames.kqb (v) | 20130208 |
| ViRobot | - | 20130208 |
상세 분석 내용
악성코드에 의해 변경되는 ws2help.dll 파일은 ws2_32.dll 파일을 보조 하는 역할로 사용 되며 악성코드는 정상 파일 상태인 ws2help.dll 파일을 악성코드로 변경 하고 정상 파일 ws2help.dll 파일을 ws2helpXP.dll 백업하고 ws2helpXP.dll 파일은 정상 파일인 ws2help.dll 시스템 파일 역할을 수행 한다.
| AYAgent.aye AYUpdSrv.aye AYServiceNT.aye AYRTSrv.aye SystemMon.exe SkyMon.exe nsvmon.npc nvc.npc nvcagent.npc V3LTray.exe V3LSvc.exe V3Light.exe NaverAgent.exe sgrun.exe InjectWinSockServiceV3.exe alyac NaverVaccine |
국내 주요 백신 ( 알약 , V3 , 네이버 백신)에 대해서 프로세스가 존재 한다면 해당 프로세스를 강제 종료한다.
악성코드가 탈취 하는 게임 목록에서 2013년 1월 2일 오픈베타를 시작한 온라인 게임 "아키에이지" 가 포함 되있으며 악성코드는 지속적으로 추가 업데이트를 진행 하고 있는걸로 추정 할 수 있다.
악성코드는 iexplore.exe 프로세스에 악성 ws2help.dll 파일을 인젝션 하며 온라인 게임 계정 정보를 수집하여 외부로 유출한다. ws2helpXP.dll 파일은 ws2help.dll 시스템 파일의 백업 파일로 ws2help.dll 정상 파일의 역할을 한다
악성코드 감염 이후 특정 온라인 게임 계정에 로그인을 시도 시 악성코드에 설정 되어 있는 유출지로 온라인 게임 계정 정보를 탈취 한다.
온라인 게임 계정을 탈취 하는 서버의 소재지는 홍콩 이다.
usp10.dll 악성 파일의 경우 바로 악성 행위를 실행 하지 않으며 특정 조건 만족 시 동작하는 것으로 추정된다. 디코딩 문자열을 찾았으며 10001EF0 함수가 디코딩 루틴 함수다
디코딩 루틴을 디버거를 통해서 분석을 진행 하면 디코딩 함수 호출 이후 악성코드 다운로드 주소가 나오며 최종 적으로 외부에서 악성코드를 다운로드 하고 실행 하고 악성코드를 감염 시킨다.
추가 악성코드를 유포하는 서버의 소재지는 홍콩 이다
'악성코드 분석' 카테고리의 다른 글
| DDoS:Win32/Nitol.A (5) | 2013.02.11 |
|---|---|
| Trojan.Win32.Spy (0) | 2013.02.10 |
| Rootkit.Win32.Agent (0) | 2013.02.08 |
| Win-Trojan/Agent.70144.KG (0) | 2013.02.08 |
| Backdoor:Win32/Xyligan.A (2) | 2013.02.07 |
