본문 바로가기

벌새::Analysis

ws2help.dll, ws2helpXP.dll 파일을 이용한 온라인 게임 계정 수집 주의 (2011.9.4)

최근 2011 대구 세계 육상 선수권 대회를 개최하면서 스포츠 관련 소식을 보기 위해 방송국 사이트를 방문할 경우 악성코드 유포로 인한 시스템 감염이 발생하는 사례를 확인하였습니다.


파일명 보안 제품 진단명
main.swf Hauri ViRobot SWF.S.Exploit.3855.C
c.html Microsoft Exploit:JS/Mult.AB
x.html Microsoft Exploit:JS/CVE-2010-0806.gen!A

해당 유포는 기존과 동일한 유포 구조를 가지고 있으며, 감염시 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하여 온라인 게임 계정 정보를 수집하여 외부로 유출하고 있습니다.

감염에 이용된 취약점을 살펴보면 Internet Explorer 웹 브라우저에서 발견된 CVE-2010-0806 취약점과 Adobe Flash Player 제품에서 발견된 CVE-2011-2110 취약점을 통해 보안 패치가 적용되지 않은 시스템은 자동으로 감염될 수 있습니다.

취약점을 이용하여 최종적으로 다운로드된 실행 파일(MD5 : 534f70875bd83e58d407bec3d3e8e14b)은 안철수연구소(AhnLab) V3 보안 제품 관련 파일로 위장을 하고 있으며, AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 24/40) 진단명으로 진단되고 있습니다.

[생성(변경) 파일 및 진단 정보]

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 94,208 Bytes
 - MD5 : e5053848f011132dba397242da04aef3
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 7/44)

C:\WINDOWS\system32\ws2help.dll.2KM.tmp :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 ws2help.dll.(3자리 숫자+영문).tmp 형태의 파일입니다.

C:\WINDOWS\system32\ws2helpXP.dll :: ws2help.dll 백업 파일(정상 파일)


감염된 PC는 ws2help.dll 시스템 파일이 악성 파일로 패치되며, 악성 ws2help.dll 시스템 파일은 백업된 ws2helpXP.dll 파일을 불러와 동작하도록 구성되어 있습니다.

참고로 ws2help.dll 시스템 파일이 패치 전과 비교하여 bss 섹션이 추가된 것을 확인할 수 있습니다.

악성 ws2help.dll 파일은 SkyMon.exe, InjectWinSockServiceV3.exe, SgSvc.exe, V3Light.exe, V3LSvc.exe, V3LTray.exe, SystemMon.exe, AYServiceNT.aye, AyAgent.aye 보안 프로세스의 실행을 방해하여 자신을 진단하지 못하도록 하고 있는 것을 확인할 수 있습니다.(※ 보안 제품 이름을 확인해보면 바이러스 체이서(Virus Chaser), AhnLab V3, 알약(ALYac) 제품 등 입니다.)

또한 국내 온라인 게임(아이온, 다크블러드, 한게임, 메이플스토리, 넷마블, 피망, 피파(FIFA), 던전 앤 파이터, 마에스티아, 불멸 온라인, 레이시티 등)의 계정 정보 수집을 목적으로 DarkBlood.exe, dnf.exe, ff2client.exe, Myth.exe, TERA.exe, ExLauncher.exe, Game.exe, heroes.exe, lin.bin, MapleStory.exe, iexplore.exe, LOB.exe 프로세스 동작을 감시하는 것을 확인할 수 있습니다.

감염된 사용자가 Internet Explorer 웹 브라우저를 실행하면 iexplore.exe 프로세스에 악성 ws2help.dll 파일을 추가하여 특정 온라인 게임 계정 정보를 수집하여 외부로 유출하며, ws2helpXP.dll 파일은 ws2help.dll 시스템 파일 역할을 합니다.

예를 들어 한게임(Hangame) 사이트에서 로그인을 시도할 경우 미국(USA)에 위치한 208.98.5.166 서버로 한게임 아이디(ID), 비밀번호를 유출하는 것을 확인할 수 있습니다.

해당 악성코드 감염에 대해 수동으로 문제를 해결하실 분들은 모든 프로그램을 종료한 상태에서 다음과 같은 절차를 따르시기 바랍니다.

1. C:\WINDOWS\system32\ws2help.dll 파일 확장자명 변경(※ 예시 : ws2help.dll-)

ws2help.dll 파일의 확장자명을 변경한 경우에는 윈도우 파일 보호(WPF) 기능을 통해 자동으로 ws2help.dll 파일이 생성되므로 반드시 확인하시기 바랍니다.

2. 시스템 재부팅을 실행한 후, 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\ws2help.dll-
  • C:\WINDOWS\system32\ws2help.dll.(3자리 숫자+영문).tmp
  • C:\WINDOWS\system32\ws2helpXP.dll

위와 같은 절차대로 진행한 후에는 반드시 보안 제품을 이용하여 정밀 검사를 추가로 진행하시기 바랍니다.

해당 악성코드 감염 원인은 사용자가 Windows 보안 패치 미설치, Adobe Flash Player 최신 버전을 사용하지 않은 것이 문제가 되므로 적용되지 않은 패치를 체크하여 설치하시기 바랍니다.

  • 덕분에 많이 배워갑니다 ^^
    윈도우에 시스템 파일 해킹을 방지하기 위한 WFP가 있긴 하지만
    최근에는 너무 쉽사리 뚫리는군요~

  • 혹시 2011.10.15 18:13 댓글주소 수정/삭제 댓글쓰기

    제가 이 바이러스 때문에 아주 오랫동안 고난을 겪고있는데요
    우선 v3가 실행되지않아 v3의 실행파일이름을 바꾸는 방법으로 해서 실행해서 정밀검사를해봣는데
    치료가되더라고요 그래서 온라인게임핵킬 이 것도 다운받아서 바이러스를치료했어요 그런데 재부팅하면 다시 재감염되길래 인터넷에 보니 이 경우 mbr이 손상됐다나 해서 복구 하라는대로 해보니까 바이러스는 정상 치료가됐는데 재부팅했을때 무한으로 블루스크린이 뜨더라고요 그래서 시스템복원을 하고 글쓴이님이 쓰신대로 ws2help.dll-로 바꾸고 ws3help.dll 을 ws2help.dll로 했더니 바이러스가 치료되어서 인터넷이 갑자기꺼지는현상도 사라지고 v3실시간검사도 잘 되더라고요 그런데 역시 10분정도지나니까 뜬금없이 블루스크린이 뜨고 재부팅 후에도 무한 블루스크린이 뜨더라고요 바이러스를 치료하면 블루스크린이 뜨고 치료하지 않으면 바이러스때문에 고생하고..방법이없을까요

    • 안녕하세요.

      아마 블루 스크린 문제는 악성 파일을 제작하는 과정에서 생긴 버그나 시스템 환경에 따른 문제로 추정됩니다.

      현재 알려진 정보에 따르면 ws2helpxp.dll 악성 파일 감염의 경우 부팅 문제나 블루 스크린 등의 증상이 발생하는 것으로 추정됩니다.

      또한 치료 과정 중 시스템이 불안정해질 수도 있는 것으로 생각되므로, 이번 기회에 중요 자료는 백업하시고 포멧을 해 보시는 것이 낫지 않나 생각됩니다.

      그리고 핵심은 사용자가 윈도우 보안 패치와 Adobe Flash Player 최신 버전을 사용하지 않아사 감염된 문제이므로 보안 업데이트를 놓치지 마시고 꾸준히 설치하시기 바랍니다.

      큰 도움이 되지 못해 죄송합니다.

    • 정말 감사해요 2011.10.15 20:29 댓글주소 수정/삭제

      이렇게나 빨리 답글을 달아주시다니..
      벌새님 말씀대로 포멧을 하는 수밖에 없겠네요
      항상 좋은 일들만 생기시고 행복하세요^^

  • 질문있어요 2011.12.24 23:44 댓글주소 수정/삭제 댓글쓰기

    ws2helpXP.dll가 삭제가 안돼요
    [ws2helpXP 항목을 삭제할 수 없습니다. 액세스가 거부되었습니다.
    디스크가 꽉 찼거나 쓰기 금지되어 있는지 아니면 파일이 현재 사용 중이 아닌지
    확인하십시오.]라고 뜨면서 말이에요.
    시스템 재부팅한 다음에 2번의
    ■C:\WINDOWS\system32\ws2help.dll-
    ■C:\WINDOWS\system32\ws2help.dll.(3자리 숫자+영문).tmp
    요거 두 개는 삭제를 했는데요
    ws2helpXP.dll 요것만 삭제가 안 돼요
    삭제 못하면 안 되는거 아닌가요??

    • 기존까지 알려진 ws2helpXP.dll 파일은 정상 파일로 ws2help.dll 시스템 파일 역할을 했었습니다.

      현재 사용자가 ws2help.dll 파일이 정상 파일로 복구가 되었다면 ws2helpXP.dll 파일은 더 이상 사용할 이유가 없을 겁니다.

      그런데 여전히 액세스 거부인 걸 봐서는 ws2help.dll 파일이 여전히 악성 파일이 아닌가 싶습니다.

      그러므로 ws2help.dll 파일이 악성 파일인지 여부를 재확인하시고 해당 파일을 정상 파일로 패치를 하시기 바랍니다.

      만약 삭제가 안되는 경우에는 ws2helpXP.dll 파일 확장자를 변경(dll-)하여 재부팅 후 삭제해 보시기 바랍니다.

  • 이거였구나 2012.02.14 03:01 댓글주소 수정/삭제 댓글쓰기

    지나가다 우연히 들립니다; 넥슨사의 모 게임을 즐기다 해킹을 당했는데 바이러스 검사해보니 이게 뜨더군요. 좋은 정보 알아갑니다.

    • 이 악성코드에 감염된 사람들은 모두 보안 패치를 제대로 설치하지 않은 상태에서 인터넷을 하기 때문입니다.

      그러므로 반드시 설치된 소프트웨어 보안 업데이트를 모두 최신으로 유지하시기 바랍니다.

  • 도와주세요 ㅠ 2013.02.25 18:21 댓글주소 수정/삭제 댓글쓰기

    저도 이것땜에 오늘 종일 고생했어요.
    첨에 하시란대로 파일을 dll-로 변경했는데요.
    windows 파일보호란 팝업창이 뜨면서 windows 실행에 필요한 파일이 알 수 없는 버전으로 교체되었습니다. 시스템안정성을 유지하라면 원본버전으로 복원해야합니다. windows xp professional service pack 2cd를 삽입하라고 뜨는데 cd없으면 안되는건가요? 제가 컴맹이라 막무가내로 할 수가 없어서요.ㅠ 무시하고 재부팅하고 지웠다가 컴이 안될까봐요. 답글 언제보실려나. ㅠ

    • 아마 백업 파일이 삭제된 상태에서 파일의 확장자를 변경한 것으로 보입니다.

      이런 경우에는 확장자 변경 방식으로는 해결되지 않으며, 해당 악성 파일에 대한 추가 정보가 있어야지 해결이 가능해 보입니다.

      원래 ws2help.dll 정상 파일을 이름 변경하여 보관하는 파일이 있을 것이고 그 파일을 백업 폴더에 넣어서 몇 단계를 거쳐야 하는데 직접 PC를 보지 않는한 알 수 없습니다.

      그러므로 우선은 dll 파일 이름을 이전 상태로 다시 수정하시고, 전용 백신을 이용해 보시기 바랍니다.

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=110