반응형
중국발 온라인 게임 계정 정보를 수집하여 금전적 피해를 유발하는 악성코드에 감염되는 사용자는 Windows 보안 패치 미설치와 Adobe Flash Player 최신 버전을 사용하지 않는 사용자들입니다.
이들 사용자는 웹하드, 언론, 커뮤니티 사이트 등에 접속할 경우 자동으로 감염으로 연결이 될 수 있으며, 감염 당시 사용자 PC에 설치된 보안 제품에서 진단하지 못할 경우에는 다음과 같은 증상도 목격할 수 있습니다.
이들 사용자는 웹하드, 언론, 커뮤니티 사이트 등에 접속할 경우 자동으로 감염으로 연결이 될 수 있으며, 감염 당시 사용자 PC에 설치된 보안 제품에서 진단하지 못할 경우에는 다음과 같은 증상도 목격할 수 있습니다.
즉, 평소 사용하던 안철수연구소(AhnLab) V3 Lite 무료 백신을 실행할 경우 "바로가기 오류" 창이 생성되며 백신 프로그램이 동작하지 않을 뿐만 아니라 실제 관련 파일들이 모두 삭제되어 있는 것을 확인할 수 있습니다.
최근 모 언론 사이트를 통해 유포되는 악성코드를 통해 어떻게 이런 동작이 가능한지 여부와 피해 및 수동 해결 방법에 대해 살펴보도록 하겠습니다.
최근 모 언론 사이트를 통해 유포되는 악성코드를 통해 어떻게 이런 동작이 가능한지 여부와 피해 및 수동 해결 방법에 대해 살펴보도록 하겠습니다.
참고로 해당 내용은 처리님이 작성하신 내용과 동일하므로 기술적 코드 부분에 대해서는 처리님 블로그 내용을 참고하시기 바랍니다.
| 파일명 | 보안 제품 | 진단명 |
| tp.js | Hauri ViRobot | JS.S.Agent.13794.A |
| hhh.html | Microsoft | Exploit:JS/ShellCode.gen |
| KRPlayerse.swf | nProtect | Trojan- Exploit/W32.SWFlash.12234.OQ |
| e.avi | Hauri ViRobot | AVI.S.CVE-2011-2140.8471 |
| fff.html | Hauri ViRobot | JS.S.Shellcode.35768 |
| xxx.html | Hauri ViRobot | HTML.S.Agent.9191 |
해당 악성코드는 기존과 마찬가지로 Adobe Flash Player 취약점을 중심으로 감염을 유발하고 있으며, 최종적으로 암호화된 1027.jpg 파일을 다운로드하여 XOR을 통해 생성된 최종 파일(MD5 : 7e387136dc94130cacb6fa521cdbd49c)에 의해 감염이 이루어집니다.
해당 최종 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Patcher (VirusTotal : 19/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
[생성 파일 및 진단 정보]
C:\WINDOWS\spoo1sv.exe :: 최종 감염 파일(Dropper)
- MD5 : 7e387136dc94130cacb6fa521cdbd49c
- AhnLab V3 : Trojan/Win32.Patcher (VirusTotal : 19/43)
C:\WINDOWS\version.dat :: 버전 체크 파일
C:\WINDOWS\winurl.dat :: 감염 상태 체크 파일
C:\WINDOWS\system32\dllcache\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
- MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
- BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)
C:\WINDOWS\system32\wimedump.dll :: ws2help.dll 백업 파일 - 정상 파일
C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
- MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
- BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)
C:\WINDOWS\Tasks\SA01.dat :: 악성 ws2help.dll 백업 파일
- MD5 : c5db5d4ab9ae84e61ee5556016c7f270
C:\WINDOWS\Tasks\SA02.dat :: 악성 spoo1sv.exe 백업 파일
- MD5 : 03074e35232f4af34fbc8713afbd4709
C:\WINDOWS\spoo1sv.exe :: 최종 감염 파일(Dropper)
- MD5 : 7e387136dc94130cacb6fa521cdbd49c
- AhnLab V3 : Trojan/Win32.Patcher (VirusTotal : 19/43)
C:\WINDOWS\version.dat :: 버전 체크 파일
C:\WINDOWS\winurl.dat :: 감염 상태 체크 파일
C:\WINDOWS\system32\dllcache\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
- MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
- BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)
C:\WINDOWS\system32\wimedump.dll :: ws2help.dll 백업 파일 - 정상 파일
C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
- MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
- BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)
C:\WINDOWS\Tasks\SA01.dat :: 악성 ws2help.dll 백업 파일
- MD5 : c5db5d4ab9ae84e61ee5556016c7f270
C:\WINDOWS\Tasks\SA02.dat :: 악성 spoo1sv.exe 백업 파일
- MD5 : 03074e35232f4af34fbc8713afbd4709
특히 이들 2개의 PE 구조의 .dat 파일의 헤더를 백신 프로그램의 진단을 우회할 목적으로 0x30 0x30으로 수정되어 있는 특징이 있습니다.
참고로 테스트에서는 홍콩(HongKong)에 위치한 203.124.15.228 IP 서버로 계정 정보가 전송되는 것을 확인할 수 있었습니다.
해당 악성코드에 감염된 경우 보안 제품을 통한 치료가 어려울 경우 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)
1. Windows 작업 관리자에서 spoo1sv.exe 프로세스를 종료합니다.
2. GMER 도구를 이용하여 다음의 파일을 삭제하시기 바랍니다.
- C:\WINDOWS\Tasks\SA01.dat
- C:\WINDOWS\Tasks\SA02.dat
4. [C:\WINDOWS\system32\wimedump.dll] 파일을 [C:\WINDOWS\system32\dllcache] 폴더에 복사합니다.
5. [C:\WINDOWS\system32\dllcache\ws2help.dll] 파일을 삭제합니다.
6. (4)번에서 복사한 [C:\WINDOWS\system32\dllcache\wimedump.dll] 파일을 ws2help.dll 파일로 이름을 변경합니다.
7. [C:\WINDOWS\system32\ws2help.dll] 파일의 확장자를 변경합니다.(※ 예시 : ws2help.dll-)
8. 반드시 시스템 재부팅을 한 후, 다음의 파일을 찾아 삭제를 하시기 바랍니다.
- C:\WINDOWS\version.dat
- C:\WINDOWS\winurl.dat
- C:\WINDOWS\system32\wimedump.dll
모든 수동 문제 해결 절차에 따라 파일을 제거하신 사용자는 반드시 국내 유명 보안 제품을 이용하여 정밀 검사를 진행하시기 바라며, 해당 악성코드에 감염된 원인이 Windows 보안 패치 미설치와 Adobe Flash Player 최신 버전을 사용하지 않았기 때문이므로 반복적인 감염을 예방하기 위해서는 최신 보안 패치를 모두 설치하시기 바랍니다.
728x90
반응형