울지않는벌새 : Security, Movie & Society

ws2help.dll, ws2helpXP.dll 파일을 이용한 온라인 게임 계정 수집 주의 (2011.9.4)

벌새::Analysis
최근 2011 대구 세계 육상 선수권 대회를 개최하면서 스포츠 관련 소식을 보기 위해 방송국 사이트를 방문할 경우 악성코드 유포로 인한 시스템 감염이 발생하는 사례를 확인하였습니다.


파일명 보안 제품 진단명
main.swf Hauri ViRobot SWF.S.Exploit.3855.C
c.html Microsoft Exploit:JS/Mult.AB
x.html Microsoft Exploit:JS/CVE-2010-0806.gen!A

해당 유포는 기존과 동일한 유포 구조를 가지고 있으며, 감염시 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하여 온라인 게임 계정 정보를 수집하여 외부로 유출하고 있습니다.

감염에 이용된 취약점을 살펴보면 Internet Explorer 웹 브라우저에서 발견된 CVE-2010-0806 취약점과 Adobe Flash Player 제품에서 발견된 CVE-2011-2110 취약점을 통해 보안 패치가 적용되지 않은 시스템은 자동으로 감염될 수 있습니다.

취약점을 이용하여 최종적으로 다운로드된 실행 파일(MD5 : 534f70875bd83e58d407bec3d3e8e14b)은 안철수연구소(AhnLab) V3 보안 제품 관련 파일로 위장을 하고 있으며, AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 24/40) 진단명으로 진단되고 있습니다.

[생성(변경) 파일 및 진단 정보]

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 94,208 Bytes
 - MD5 : e5053848f011132dba397242da04aef3
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 7/44)

C:\WINDOWS\system32\ws2help.dll.2KM.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 ws2help.dll.(3자리 숫자+영문).tmp 형태의 파일입니다.

C:\WINDOWS\system32\ws2helpXP.dll :: ws2help.dll 백업 파일(정상 파일)


감염된 PC는 ws2help.dll 시스템 파일이 악성 파일로 패치되며, 악성 ws2help.dll 시스템 파일은 백업된 ws2helpXP.dll 파일을 불러와 동작하도록 구성되어 있습니다.

참고로 ws2help.dll 시스템 파일이 패치 전과 비교하여 bss 섹션이 추가된 것을 확인할 수 있습니다.

악성 ws2help.dll 파일은 SkyMon.exe, InjectWinSockServiceV3.exe, SgSvc.exe, V3Light.exe, V3LSvc.exe, V3LTray.exe, SystemMon.exe, AYServiceNT.aye, AyAgent.aye 보안 프로세스의 실행을 방해하여 자신을 진단하지 못하도록 하고 있는 것을 확인할 수 있습니다.(※ 보안 제품 이름을 확인해보면 바이러스 체이서(Virus Chaser), AhnLab V3, 알약(ALYac) 제품 등 입니다.)

또한 국내 온라인 게임(아이온, 다크블러드, 한게임, 메이플스토리, 넷마블, 피망, 피파(FIFA), 던전 앤 파이터, 마에스티아, 불멸 온라인, 레이시티 등)의 계정 정보 수집을 목적으로 DarkBlood.exe, dnf.exe, ff2client.exe, Myth.exe, TERA.exe, ExLauncher.exe, Game.exe, heroes.exe, lin.bin, MapleStory.exe, iexplore.exe, LOB.exe 프로세스 동작을 감시하는 것을 확인할 수 있습니다.

감염된 사용자가 Internet Explorer 웹 브라우저를 실행하면 iexplore.exe 프로세스에 악성 ws2help.dll 파일을 추가하여 특정 온라인 게임 계정 정보를 수집하여 외부로 유출하며, ws2helpXP.dll 파일은 ws2help.dll 시스템 파일 역할을 합니다.

예를 들어 한게임(Hangame) 사이트에서 로그인을 시도할 경우 미국(USA)에 위치한 208.98.5.166 서버로 한게임 아이디(ID), 비밀번호를 유출하는 것을 확인할 수 있습니다.

해당 악성코드 감염에 대해 수동으로 문제를 해결하실 분들은 모든 프로그램을 종료한 상태에서 다음과 같은 절차를 따르시기 바랍니다.

1. C:\WINDOWS\system32\ws2help.dll 파일 확장자명 변경(※ 예시 : ws2help.dll-)

ws2help.dll 파일의 확장자명을 변경한 경우에는 윈도우 파일 보호(WPF) 기능을 통해 자동으로 ws2help.dll 파일이 생성되므로 반드시 확인하시기 바랍니다.

2. 시스템 재부팅을 실행한 후, 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\ws2help.dll-
  • C:\WINDOWS\system32\ws2help.dll.(3자리 숫자+영문).tmp
  • C:\WINDOWS\system32\ws2helpXP.dll

위와 같은 절차대로 진행한 후에는 반드시 보안 제품을 이용하여 정밀 검사를 추가로 진행하시기 바랍니다.

해당 악성코드 감염 원인은 사용자가 Windows 보안 패치 미설치, Adobe Flash Player 최신 버전을 사용하지 않은 것이 문제가 되므로 적용되지 않은 패치를 체크하여 설치하시기 바랍니다.