본문 바로가기

벌새::Analysis

ws2help.dll 시스템 파일을 패치하는 온라인 게임 계정 탈취 악성코드 (2011.6.19)

반응형
최근 주말을 중심으로 이루어지는 국내 인터넷 사이트 변조를 통한 악성코드 유포는 감염시 정상적인 시스템 파일을 패치하는 방식을 통해 꾸준하게 이루어지고 있습니다.

대표적으로 imm32.dll, lpk.dll 시스템 파일 패치가 많은 것으로 보이며, 감염시 인터넷을 이용하는 과정에서 웹 브라우저가 죽는 현상과 국내 보안 제품(V3, 알약)의 동작을 방해하는 현상이 있습니다.

이번 주말에는 새로운 시스템 파일 ws2help.dll (Windows Socket 2.0 Helper for Windows NT)을 패치하는 악성코드가 발견되었기에 해당 악성 파일에 감염시 수동으로 문제를 해결하는 방법에 대해 살펴보도록 하겠습니다.

[악성코드 유포 경로]

h**p://208.**.62.**/1.htm :: nProtect - Script-JS/W32.Agent.CEW
 ㄴ h**p://208.**.62.**/main.swf :: AhnLab V3 - JS/Swflash
   ㄴ h**p://208.**.62.**/H.exe
h**p://208.**.62.**/2.htm :: AhnLab V3 - HTML/Winexec

이번 악성코드는 미국(USA)에 등록된 특정 IP에 등록된 악성 스크립트를 통해 국내 인터넷 사이트에 추가하여, Internet Explorer 웹 브라우저 취약점과 Adobe Flash Player 취약점을 이용하여 최신 보안 패치가 적용되지 않은 사용자가 변조된 사이트에 접속시 자동으로 감염되도록 구성되어 있습니다.

최종적으로 다운로드되는 H.exe(MD5 : 3f12116d22c246024f7c27ffd8a16dba) 파일은 avast! 보안 제품에서 NSIS:Dropper-BP (VirusTotal : 13/42) 진단명으로 진단되고 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%
C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe
 -  MD5 : A566486B02D954FC558E65B9849537AC
 - Sophos : Mal/Scribble-D

C:\WINDOWS\system32\2011619170752.dll :: 2011(9~10자리 숫자).dll 패턴 파일, ws2help.dll 파일 백업 파일(정상)
※ 해당 파일은 시스템 재부팅시마다 추가로 생성됩니다.

C:\WINDOWS\system32\ws2help.dll :: ws2help.dll 패치 파일(악성)
 - MD5 : A566486B02D954FC558E65B9849537AC
 - Dr.Web : Trojan.PWS.Gamania.30169

C:\WINDOWS\system32\ws3help.dll :: ws2help.dll 파일 백업 파일(정상), 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 33,589,284 Bytes

감염된 환경에서는 원래 정상적인 ws2help.dll 시스템 파일이 악성 파일로 패치가 되고, 자신은 ws3help.dll 파일로 백업되도록 구성됩니다.

악의적으로 패치된 ws2help.dll 파일은 MD5 값은 감염시마다 다른 값을 가지며, 일반적으로 32MB 이상의 대용량 파일로 변경되어 있는 것을 확인할 수 있습니다.

패치된 ws2help.dll 파일 정보를 살펴보면 Realtek(r) High Definition Audio Function Driver 파일로 위장을 하고 있으므로 참고하시기 바랍니다.

동작 방식을 살펴보면 감염된 사용자가 Internet Explorer 웹 브라우저를 실행하였을 경우, iexplore.exe 프로세스에 원래 추가되어 동작해야 할 ws2help.dll 파일이 ws3help.dll 파일로 변경되어 동작하고, 악성 ws2help.dll 파일이 추가되어 사용자의 눈을 속이고 있습니다.

해당 악성코드는 안철수연구소(AhnLab) V3 보안 제품의 동작을 방해하여 감염시 악성코드 검사, 업데이트, 실행 등의 동작이 정상적으로 이루어지지 않을 수 있으며, 피망, 넷마블, 넥슨(메이플스토리, 던전앤파이터), 피파(FIFA), 리니지 등의 온라인 게임에 접속하여 로그인시 게임 계정 정보를 탈취하도록 구성되어 있습니다.

온라인 게임 계정 정보는 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\df.ini] 파일에 저장되어 미국에 위치한 fuck***1314.com(IP : 208.98.6.67) 서버로 이메일 전송이 이루어집니다.

해당 악성코드에 감염된 사용자는 안철수연구소, 알약(ALYac) 등 국내 보안 업체에서 제공하는 전용 백신을 이용하여 치료를 하시거나 다음의 절차에 따라 수동으로 문제를 해결하시기 바랍니다.

1. 실행 중인 모든 프로그램을 종료한 상태에서 다음의 폴더, 파일을 수동으로 삭제합니다.
  • C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%
  • C:\Program Files\%NXU32YHysu3YDU3IDd46TGh%\6549302827346110393.exe

2. 시스템 폴더에 위치한 다음의 파일을 찾아 확장자명을 변경합니다.

  • C:\WINDOWS\system32\2011(9~10자리 숫자).dll → 2011(9~10자리 숫자).dll-
  • C:\WINDOWS\system32\ws2help.dll → ws2help.dll-

악성 ws2help.dll 파일 확장자가 변경되면 자동으로 윈도우 파일 보호(WFP) 기능으로 정상적인 ws2help.dll 파일이 복원됩니다.(※ 파일 복원에 걸리는 시간이 다소 소요될 수 있으므로 1분 정도 기다리시기 바랍니다.)

3. 반드시 시스템 재부팅을 하신 후, 다음의 파일들을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\2011(9~10자리 숫자).dll- :: 해당 파일은 여러 개 존재할 수 있습니다.
  • C:\WINDOWS\system32\ws2help.dll-
  • C:\WINDOWS\system32\ws3help.dll

해당 악성코드 감염 방식은 공개된 보안 패치를 설치하지 않은 상태에서 인터넷을 이용하는 과정에서 사용자 몰래 감염이 이루어집니다.

그러므로 반드시 매월 정기적으로 제공되는 Windows 보안 패치와 함께 Adobe Flash Player 최신 버전을 사용하는 습관을 가지시기 바랍니다.

반응형
  • aromatica 2011.06.19 23:14 댓글주소 수정/삭제 댓글쓰기

    으아.. 무섭네요

  • aromatica 2011.06.19 23:17 댓글주소 수정/삭제 댓글쓰기

    저는 systme32폴더에 가서 직접 찾아 보니깐 벌새님이 올린 정보와 약간 다르게 있더라군요

    먼저 reailtek으로 위장을 하지 않고 Mircosoft Cor...로 써져있고..

    음음.. 많이 다릅니다. 왠지 건드리기가 무서운데..

    ws2hekp.dll자체가 바이러스인가요? 이거 냅둬야 하나.

  • hihihi 2011.06.22 03:47 댓글주소 수정/삭제 댓글쓰기

    좋은정보감사합니다 그런대요 ws3hel.dll없어요 감염아니죠?
    그런대2일전에 v3로요 두개잡앗어요 그리고인터넷들가면
    ad0~뭐설치하라고창뜨는대 그래도감염안된건가요?

    • 안녕하세요.

      사용자가 해당 악성코드에 감염되었는지는 잘 모르겠습니다.

      하지만 말씀처럼 사전에 V3 보안 제품이 웹 상에서 감염 시도시 차단이 되었다면 감염되지 않았을 것으로 보입니다.

      그리고 보안 패치만 잘 이루어졌다면 문제의 사이트에 접속하여도 감염되지 않습니다.

  • nnnn 2011.07.19 19:59 댓글주소 수정/삭제 댓글쓰기

    그 바이러스 감염됫는데
    알약ㅇ하고 V3 안돌려지구
    ㄴㅔ이버 백신만 가능해요..
    그리고 인터넷이 안되는데 어떻게 치료해야되나요?/ 전용백신도 다운 못 받는데...ㅜㅜ

    • 해당 악성코드는 알약, V3와 같은 국내 사용자 층이 높은 제품의 동작을 방해합니다.

      그러므로 하우리 바이로봇을 이용하는 것도 하나의 방법입니다.

      인터넷이 안되는 부분은 감염이 되어서 웹 브라우저 동작을 방해할 수 있는 부분이라 다른 PC를 통해 USB로 타 보안 제품을 다운로드하여 감염된 PC로 파일을 이동시킬 수 밖에는 없을 것으로 보입니다.

      그리고 해당 악성 파일에 감염되는 원인은 윈도우 보안 패치, Adobe Flash Player 최신 버전을 사용하지 않는 사용자의 부주의가 크므로 반드시 보안 패치를 모두 설치하시기 바랍니다.

  • sss 2011.07.27 14:44 댓글주소 수정/삭제 댓글쓰기

    완전 감사합니다. ㅜㅜ
    평소에 보안패치를 해두는 습관을 들여야겠군요.

  • sss 2011.07.27 14:46 댓글주소 수정/삭제 댓글쓰기

    아맞다 저같은 경우는 부팅이 많이 느려지는 증상도 있었어요
    멀티부팅으로 윈도우7으로는 잘되는데 XP가 부팅이 잘안되더라구여
    그래서 바이러스를 의심했는데 ㅠ.ㅠ
    암튼 정말 감사합니다.

  • 울트라맨 2011.08.07 04:45 댓글주소 수정/삭제 댓글쓰기

    저기여 2011~9 가지있는파일두개와Ws2help파일을exe로확장자명을바꾸고재부팅했는데자꾸윈도우화면에서안넘어가고계속재부팅돼는건머져

    • 단순히 ws2help.dll 파일의 확장자를 변경하시면 부팅이 안될 수 있습니다.

      반드시 확장자 변경 후 정상적인 ws2help.dll 파일이 복원되는걸 확인한 후 재부팅하시거나 백업된 ws3help.dll 파일을 ws2help.dll 파일로 변경하셔야 합니다.

      재부팅이 안될 경우에는 http://alyac.altools.co.kr/Public/Customer/FaqView.aspx?id=1516&subcategory=0&keyword= 여기 내용을 참고하시기 바랍니다.

  • 김성진 2011.08.17 15:49 댓글주소 수정/삭제 댓글쓰기

    ㅡㅡ 이미바꿔놓고 재붓해서 안되는데 댓글보니까 기다리거나 바꿔놓고하라면ㅡㅡ 이미 컴턴 ㅂㅅ이됬는데ㅡㅡ 미리좀 알려주시지 재붓cd없어서 이러는데ㅡㅡ

  • 지금 유포되는 것들은 30메가로 용량 뻥튀기는 이루어지지 않나 봅니다.
    그런데 프로그램 폴더를 생성하는지 안 하는지 모르겠네요.
    버쳘박스의 호환성이 떨어져서 그런가 악성코드 실행도 맘대로 안되네요. ㅎㅎ;;