대표적으로 imm32.dll, lpk.dll 시스템 파일 패치가 많은 것으로 보이며, 감염시 인터넷을 이용하는 과정에서 웹 브라우저가 죽는 현상과 국내 보안 제품(V3, 알약)의 동작을 방해하는 현상이 있습니다.
이번 주말에는 새로운 시스템 파일 ws2help.dll (Windows Socket 2.0 Helper for Windows NT)을 패치하는 악성코드가 발견되었기에 해당 악성 파일에 감염시 수동으로 문제를 해결하는 방법에 대해 살펴보도록 하겠습니다.
[악성코드 유포 경로]
h**p://208.**.62.**/1.htm :: nProtect - Script-JS/W32.Agent.CEW
ㄴ h**p://208.**.62.**/main.swf :: AhnLab V3 - JS/Swflash
ㄴ h**p://208.**.62.**/H.exe
h**p://208.**.62.**/2.htm :: AhnLab V3 - HTML/Winexec
이번 악성코드는 미국(USA)에 등록된 특정 IP에 등록된 악성 스크립트를 통해 국내 인터넷 사이트에 추가하여, Internet Explorer 웹 브라우저 취약점과 Adobe Flash Player 취약점을 이용하여 최신 보안 패치가 적용되지 않은 사용자가 변조된 사이트에 접속시 자동으로 감염되도록 구성되어 있습니다.
최종적으로 다운로드되는 H.exe(MD5 : 3f12116d22c246024f7c27ffd8a16dba) 파일은 avast! 보안 제품에서 NSIS:Dropper-BP (VirusTotal : 13/42) 진단명으로 진단되고 있습니다.
[생성 폴더 / 파일 등록 정보]
C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%
C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
- MD5 : A566486B02D954FC558E65B9849537AC
- Sophos : Mal/Scribble-D
C:\WINDOWS\system32\2011619170752.dll :: 2011<9~10자리 숫자>.dll 패턴 파일, ws2help.dll 파일 백업 파일(정상)
※ 해당 파일은 시스템 재부팅시마다 추가로 생성됩니다.
C:\WINDOWS\system32\ws2help.dll :: ws2help.dll 패치 파일(악성)
- MD5 : A566486B02D954FC558E65B9849537AC
- Dr.Web : Trojan.PWS.Gamania.30169
C:\WINDOWS\system32\ws3help.dll :: ws2help.dll 파일 백업 파일(정상), 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 33,589,284 Bytes
감염된 환경에서는 원래 정상적인 ws2help.dll 시스템 파일이 악성 파일로 패치가 되고, 자신은 ws3help.dll 파일로 백업되도록 구성됩니다.
악의적으로 패치된 ws2help.dll 파일은 MD5 값은 감염시마다 다른 값을 가지며, 일반적으로 32MB 이상의 대용량 파일로 변경되어 있는 것을 확인할 수 있습니다.
패치된 ws2help.dll 파일 정보를 살펴보면 Realtek(r) High Definition Audio Function Driver 파일로 위장을 하고 있으므로 참고하시기 바랍니다.
동작 방식을 살펴보면 감염된 사용자가 Internet Explorer 웹 브라우저를 실행하였을 경우, iexplore.exe 프로세스에 원래 추가되어 동작해야 할 ws2help.dll 파일이 ws3help.dll 파일로 변경되어 동작하고, 악성 ws2help.dll 파일이 추가되어 사용자의 눈을 속이고 있습니다.
해당 악성코드는 안철수연구소(AhnLab) V3 보안 제품의 동작을 방해하여 감염시 악성코드 검사, 업데이트, 실행 등의 동작이 정상적으로 이루어지지 않을 수 있으며, 피망, 넷마블, 넥슨(메이플스토리, 던전앤파이터), 피파(FIFA), 리니지 등의 온라인 게임에 접속하여 로그인시 게임 계정 정보를 탈취하도록 구성되어 있습니다.
온라인 게임 계정 정보는 [C:\Documents and Settings\%UserName%\Local Settings\Temp\df.ini] 파일에 저장되어 미국에 위치한 fuck***1314.com(IP : 208.98.6.67) 서버로 이메일 전송이 이루어집니다.
해당 악성코드에 감염된 사용자는 안철수연구소, 알약(ALYac) 등 국내 보안 업체에서 제공하는 전용 백신을 이용하여 치료를 하시거나 다음의 절차에 따라 수동으로 문제를 해결하시기 바랍니다.
1. 실행 중인 모든 프로그램을 종료한 상태에서 다음의 폴더, 파일을 수동으로 삭제합니다.
- C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%
- C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
2. 시스템 폴더에 위치한 다음의 파일을 찾아 확장자명을 변경합니다.
- C:\WINDOWS\system32\2011<9~10자리 숫자>.dll → 2011<9~10자리 숫자>.dll-
- C:\WINDOWS\system32\ws2help.dll → ws2help.dll-
악성 ws2help.dll 파일 확장자가 변경되면 자동으로 윈도우 파일 보호(WFP) 기능으로 정상적인 ws2help.dll 파일이 복원됩니다.(※ 파일 복원에 걸리는 시간이 다소 소요될 수 있으므로 1분 정도 기다리시기 바랍니다.)
3. 반드시 시스템 재부팅을 하신 후, 다음의 파일들을 수동으로 삭제하시기 바랍니다.
- C:\WINDOWS\system32\2011<9~10자리 숫자>.dll- :: 해당 파일은 여러 개 존재할 수 있습니다.
- C:\WINDOWS\system32\ws2help.dll-
- C:\WINDOWS\system32\ws3help.dll
해당 악성코드 감염 방식은 공개된 보안 패치를 설치하지 않은 상태에서 인터넷을 이용하는 과정에서 사용자 몰래 감염이 이루어집니다.
그러므로 반드시 매월 정기적으로 제공되는 Windows 보안 패치와 함께 Adobe Flash Player 최신 버전을 사용하는 습관을 가지시기 바랍니다.