ahnurl.sys, olesau32.dll을 이용하여 개인정보를 가로채는 악성파일 주의!!

해당 파일들은 주말을 이용한 국내 홈페이지 변조(어딘지는 말하지 않겠음, 커뮤니티, 웹하드 사이트 라는것만...) 를 통해
설치되었으며, 루트킷 파일을 통해 자신의 파일을 숨기며 감염PC에 개인정보를 유출하게 된다.

변조 된 사이트에 접속하면 오라클 자바 취약점(CVE-2011-3544)에 의해 악성파일이 다운로드 되어 실행된다.

- 생성 파일

C:\Documents and Settings\[사용자계정]\Local Settings\Temp\ddd.exe - Trojan.Dropper.OnlineGames.au32

C:\WINDOWS\setupball.bmp - Spyware.OnlineGames.au32

C:\WINDOWS\olesau32.dll - Spyware.OnlineGames.au32

C:\WINDOWS\version.dat - 설치 된 악성파일 버전정보

C:\WINDOWS\winurl.dat - 사용자 정보를 전달 할 서버의 On/Off 유무

C:\WINDOWS\system32\olesau32.dll - Spyware.OnlineGames.au32

C:\WINDOWS\system32\drivers\ahnurl.sys - Trojan.Rootkit.LoaderA
 

※ 해당 탐지명은 알약 공개용 2.0 기준이며 ddd.exe와 setupball.bmp는 자가 삭제된다.

- 생성 레지스트리

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnurl

- Dll 인젝션

현재 동작중인 감염PC에 C:\WINDOWS\system32\conime.exe 프로세스를 찾아서 없으면 새롭게 생성시킨 후

생성 한 악성 olesau32.dll 파일을 인젝션 시킨다.

- SSDT 후킹

ZwEnumerateKey (레지스트리 검색 보호)

ZwEnumerateValueKey (레지스트리 변경 보호)

ZwQueryDirectoryFile (파일 보호)

- 보안프로그램 종료

AYUpdSrv.aye

AYRTSrv.aye

AYAgent.aye

AYServiceNT.aye

ALYac.aye

NVCUpgrader.exe

NaverAgent.exe

NVCAgent.exe

Nsvmon.npc

Nsavsvc.npc

Nsavsvc.exe

Nsvmon.exe

NVCAgent.npc

- 사용자정보 유출

IEXPLORE.EXE 이며, 아래의 URL일 경우 사용자정보 전송

(tera.hangame.com, hangame.com, poker.hangame.com, pmang.com , lineage.plaync.co.kr, netmarble.net, df.nexon.com)

PMangAgent.exe, dnf.exe

이번 파일에서 가장 중요했던 부분은 주말에 유포 된 파일인데도 정상파일 변조가 이루어지지 않았다.
뭔가 다른 시도를 하는 듯 한데... 주의깊게 지켜봐야 할 것 같다!!

또한 생성 된 olesau32.dll 파일을 로드시키는 부분이 없는데, ahnurl.sys에서 로드시키는 것으로 보이나 좀 더 분석을 해봐야겠다.

오늘은 이만 자야겠다..내일부터 이사준비라 ㅠㅠ

※ 수동 조치 방법

1. 안전모드 진입

- 안전모드 진입을 모르시는 분은 아래의 링크를 클릭하여 부팅하시면 된다.

[Tip]안전모드로 부팅하기

2. 보안 프로그램 검사 또는 수동 삭제

- 파일삭제
C:\WINDOWS\olesau32.dll

C:\WINDOWS\version.dat

C:\WINDOWS\winurl.dat

C:\WINDOWS\system32\olesau32.dll

C:\WINDOWS\system32\drivers\ahnurl.sys

- 레지스트리 삭제
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ahnurl
 

3. 재부팅 후 다시 보안 프로그램 검사