본문 바로가기

벌새::Analysis

C:\Program Files\yong. 폴더를 이용한 온라인 게임 계정 수집 주의 (2011.9.13)

추석 명절을 포함한 연휴 기간 동안 매주 주말을 이용하여 유포되는 온라인 게임 계정 정보 수집을 목적으로 하는 악성코드가 새로운 방식을 통해 보안 제품의 치료를 방해하는 동작을 확인하였습니다.

이번에 소개해드리는 악성코드는 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하는 동작과 함께, Windows 탐색기 및 보안 제품을 이용하여 삭제가 되지 않는 [C:\Program Files\yong.] 폴더 내부에 yong.exe 파일을 추가하는 방법을 사용하고 있습니다.
  • C:\Program Files\yong.\yong.exe
  • C:\Program Files\yh.\yh.exe
  • C:\Program Files\small.\small.exe
  • C:\Program Files\tmp.\tmp.exe

추가적으로 [C:\Program Files\(폴더명).] 폴더 형태의 다양한 변종들이 발견되고 있습니다.(※ 해당 게시글에서는 yong. 폴더를 예로 들었으므로 다른 이름의 폴더는 참고하여 응용하시기 바랍니다.)

유포 방식은 기존과 동일하게 Internet Explorer 보안 패치가 최신으로 적용되지 않은 경우와 Adobe Flash Player 최신 버전을 사용하지 않는 인터넷 사용자가 해킹된 웹 사이트에 접속할 경우 자동으로 감염되도록 구성되어 있는 것으로 추정됩니다.


최종 실행 파일(MD5 : a459050ea66920f271eea888b82eaee9)은 7-Zip 압축 프로그램 아이콘 모양을 하고 있으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 18/44) 진단명으로 진단되고 있습니다.

[생성 폴더 / 파일 등록 정보 및 진단 정보]

C:\Program Files\12.js

C:\Program Files\yong.
C:\Program Files\yong.\yong.exe
 - MD5 : 8d9e369cc71049c8e05083483595f361
 - AhnLab V3 : Dropper/Win32.OnlineGameHack (VirusTotal : 13/44)

C:\WINDOWS\system32\2011913132322.dll :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 2011(9자리 숫자).dll 형태입니다.

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 5,188,002 Bytes
 - MD5 : fa05bc4277b44880fa6096c12d41fc22
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 9/43)

C:\WINDOWS\system32\ws3help.dll :: ws2help.dll 백업 파일(정상 파일)

1. C:\Program Files\yong. 폴더 문제



해당 악성코드에 감염된 경우 [C:\Program Files] 폴더 내부에 그림과 같은 yong. 폴더와 12.js 파일이 생성되는 것을 확인할 수 있습니다.


C:\Program Files\yong. 폴더를 클릭하여 내부에 접근하려고 시도할 경우에는 그림과 같은 오류 메시지가 생성되어 폴더 내부에 접근할 수 없습니다.


또한 해당 폴더를 Windows 탐색기 등을 이용하여 삭제 또는 이름 변경을 시도할 경우 오류 메시지가 생성되는 것을 확인할 수 있습니다.


이로 인하여 온라인 게임 계정 탈취 목적의 악성 파일을 다운로드하는 [C:\Program Files\yong.\yong.exe] 파일은 숨겨진 형태로 사용자에 의해 수동 삭제와 실제 보안 제품에서 진단하여도 치료에 실패하는 것으로 알려져 있습니다.


추가적으로 [C:\Program Files\12.js] 스크립트 파일은 감염 당시 C:\Program Files\2.bat 파일 생성을 통한 감염에 관여한 파일입니다.

2. ws2help.dll 시스템 파일 패치 문제


감염된 환경에서는 C:\Program Files\yong.\yong.exe 파일이 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp] 폴더에 ws2help.dll 악성 파일을 5,188,002 Bytes 파일 크기로 생성하여 임시로 sfc_os.dll 파일을 이용하여 윈도우 파일 보호(WFP) 기능을 무력화한 후 ws2help.dll 시스템 파일을 패치하도록 되어 있습니다.

참고로 정상적인 ws2help.dll 시스템 파일은 ws3help.dll 파일로 백업이 이루어져 있는 것을 확인할 수 있습니다.

감염된 환경에서 사용자가 Internet Explorer 웹 브라우저(iexplore.exe)를 비롯한 PCOTP.exe, lin.bin, FF2Client.exe, MapleStory.exe, dnf.exe 등 온라인 게임 프로세스가 동작시 ws2help.dll 악성 파일을 프로세스에 추가하여 정보를 수집하여 외부로 유출을 시도합니다.
mupdate2.exe, AYUpdSrv.aye, AYRTSrv.aye, AYServiceNT.aye, AYAgent.aye, NVCAgent.npc, nsvmon.npc, Nsavsvc.npc, NaverAgent.exe, V3Light.exe, V3LTray.exe, V3LRun.exe, SgSvc.exe, V3LSvc.exe
또한 국내 사용자가 많이 사용하는 알약(ALYac), V3 및 사이트가드(SiteGuard), 네이버 백신(Naver Vaccine) 보안 제품의 기능을 무력화하여 자신을 진단하지 못하게 방해하고 있는 것을 확인할 수 있습니다.

만약 감염된 상태에서 한게임(Hangame) 접속을 시도할 때, 미국(USA)에 위치한 174.139.15.92 서버로 계정 정보가 전송되는 것을 확인할 수 있습니다.

현재 보안 제품을 통해 제대로 치료가 이루어지지 않는 경우가 있는 해당 악성코드에 대한 수동 해결 방법은 다음과 같으므로 절차에 따르시기 바랍니다.(※ 모든 프로그램을 완전히 종료한 상태에서 진행하시기 바랍니다.)

1. C:\Program Files\12.js 파일을 삭제합니다.

2. 루트킷(Rootkit) 제거 도구로 유명한 GMER을 이용하여 C:\Program Files\yong.\yong.exe 파일을 삭제합니다.



단, yong.exe 파일 삭제후 C:\Program Files\yong. 폴더는 여전히 삭제가 불가능하므로 절차에 따르시기 바랍니다.

3. C:\WINDOWS\system32\ws2help.dll 시스템 파일의 확장자명을 변경합니다.(※ 예시 : ws2help.dll-)

ws2help.dll 악성 파일의 확장자명을 변경하며 윈도우 파일 보호(WFP) 기능을 통해 정상적인 ws2help.dll 파일이 복원되는 것을 반드시 확인하시기 바랍니다.

4. 반드시 시스템 재부팅을 하시기 바랍니다.

5. Windows 탐색기를 통해 C:\Program Files\yong. 폴더의 이름을 변경한 후, 수동으로 폴더를 삭제하시면 정상적으로 삭제가 이루어집니다.(※ 예시 : C:\Program Files\yong)

6. 다음의 파일을 수동으로 삭제하시기 바랍니다.
  • C:\WINDOWS\system32\2011(9자리 숫자).dll
  • C:\WINDOWS\system32\ws2help.dll-
  • C:\WINDOWS\system32\ws3help.dll

위와 같은 방식을 통해 문제를 해결하신 분들은 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가적으로 진행하시는 것이 중요합니다.

또한 이들 악성코드에 감염되는 근본적 원인은 사용자가 Windows 보안 패치와 Adobe Flash Player 최신 버전을 사용하지 않는 것이 원인이므로 반드시 최신 패치를 적용하시고 인터넷을 이용하시기 바랍니다.

  • 안녕하세요? 2011.09.14 09:16 댓글주소 수정/삭제 댓글쓰기

    3번까지 처리하고 재부팅을 해도 yong. 폴더 이름을 변경할 수 없다고 나옵니다...

  • 저기 2011.09.14 12:21 댓글주소 수정/삭제 댓글쓰기

    멀쩡한 ws2help.dll, ws3help.dll, 2011(9자리 숫자).dll 파일 삭제해도 괜찮은건가요ㅠㅠ? 크기가 5,188,002 Bytes 아닌데도 삭제해 버렸는데...;

    • 감염 이전의 클린 상태로 복구하기 위한 하나의 방법입니다.

      사실 정상 파일 삭제는 할 필요는 없습니다.

      ws2help.dll 악성 파일 확장자 변경을 하면 정상적인 ws2help.dll 파일이 생성되므로 악성 파일만 제거하셔도 됩니다.

    • 2011.09.14 12:39 댓글주소 수정/삭제

      이미 삭제를 해버린건요ㅠㅠ? 꼭 있어야 하는 파일들은 아닌 거죠?

    • ws2help.dll 파일은 꼭 있어야 하는 파일입니다.

    • 그렇군요 2011.09.14 12:44 댓글주소 수정/삭제

      그건 다행히도 글 내용대로 다시 생겼네요.
      감사합니다~ 덕분에 이젠 마음놓고 컴퓨터 하겠네요!

    • 안전을 위해서는 반드시 보안 패치를 하시기 바랍니다.

      그리고 보안 제품으로 정밀 검사를 돌려서 추가 악성 파일이 있는지 체크하시기 바랍니다.

  • 안녕하십니까 2011.09.14 15:47 댓글주소 수정/삭제 댓글쓰기

    yong 폴더 때문에 블로그 몇번이나 들리고 있습니다.
    .js 파일의 경우 직접 시프트+델로 삭제를 한 상태구요.
    그 다음 말씀해주신데로 GMER을 이용하여 yong 파일을 삭제하려는데 실행 오류가 나서 파란화면이 뜨며 컴퓨터가 멈춰버립니다. 이후 안전모드 부팅하여 실행하니 다행히 실행은 되었으나 GMER 파일 항목란에 yong 폴더가 표시가 되지 않습니다. 윈도우 탐색기로는 여전히 보이는데 말이죠. GMER를 이용해 파일 표시가 되지 않으니 삭제를 하고 싶어도 하지 못하는 지경입니다. 다시 윈도우 정상모드로 부팅하여 GMER를 실행하면 다운되어 컴퓨터가 멈춰버리고.. 더 이상 진전을 못하고 있습니다.
    벌새님 도움 좀 부탁드리며 이렇게 글 남깁니다.

    • 제가 봐서는 일부 충돌 현상이 아닐까 싶습니다.

      현재 해당 폴더를 제대로 처리할 수 있는 보안 제품은 Kaspersky 제품이 가능하다고 알고 있습니다.

      수동으로 해결이 어려우시면 Kaspersky 제품을 설치하여 정밀 검사를 해보시기 바랍니다.

      초기 치료 실패가 떠도 다시 시도를 하면 해결이 되는 것으로 알고 있습니다.

  • 비밀댓글입니다

  • 벌새님 2011.09.14 16:09 댓글주소 수정/삭제 댓글쓰기

    댓글단지도 얼마되지 않았는데.. 너무 고맙습니다.
    그리고 카스퍼스키는 제가 잘 몰라 아주 예전에 한번 사용한적이 있는 Unlocker 공개자료실에서 다운받아 설치하여 yong 폴더 삭제하였습니다. 밑에 비밀댓글님에게도 감사 말씀 드립니다.
    그리고 벌새님 혹시나 하여 ws2help.dll 확인을 해보았는데 파일 크기 5,188,002 Bytes로 변경은 없었습니다. 지금 이대로면 벌새님 가르쳐주는 그것과는 차이가 좀 많이 나지만 바이러스 삭제,감염 없는 것으로 볼 수 있을 지 말씀 부탁 드립니다.

    • 아마 변종으로 보입니다.

      워낙 변종이 많다보니 게시글 내용과 일부 다를 수 있을겁니다.^^

      그리고 불안하시면 v3로 정밀 검사를 해 보시기 바랍니다.

  • 안녕하세요? 2011.09.14 19:17 댓글주소 수정/삭제 댓글쓰기

    예 하라고 하신대로 해서 안에 .exe 파일은 지웠습니다.

    그래도 지금은 알약이 부팅시에 켜지네요 고맙습니다 ㅎㅎ

  • wmffl 2011.09.15 12:41 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 벌새님
    어제 v3를 돌리다가 yh.가 잡혔는데 치료가 안되서 당황하던중에 이글을 발견했네요
    우선 좋은 글 감사드립니다 ^^
    저는 yh.폴더안에 yh.exe가 생성되었는데요
    찾아보니까 ws2help.dll는 다행히 20kb로 되어있더라구요
    그럼 이 파일은 무사한 상태인것이 맞나요?
    그리고 GMER를 이용해서 yh.exe는 삭제했는데 폴더가 지워지지 않더라구요
    ws2help.dll파일이 멀쩡한것같아서 지웠다 만들기가 불안해서 시도를 안해봤는데 폴더까지 지우려면 ws2help.dll 파일을 손봐야할까요?
    우선 exe파일을 지우면 감염상태에서 벗어난것이 맞나요? 아니면 폴더까지 지워야 확실할까요?
    답변부탁드릴게요 감사합니다~ ㅎㅎ

    • 폴더는 재부팅 후 폴더명으로 변경하시고 삭제해 보시기 바랍니다.

      만약 안되시면 Unlocker라는 프로그램으로 삭제하시기 바랍니다.

      http://www.emptyloop.com/unlocker/

      그리고 ws2help.dll 파일의 악성 여부는 파일 크기로 판단하지 마시고, 보안 제품으로 악성 여부를 체크하시기 바랍니다.

      또는 해당 파일을 http://www.virustotal.com/index.html 사이트에 업로드하여 감염 여부를 확인하세요.

    • wmffl 2011.09.15 13:33 댓글주소 수정/삭제

      안녕하세요 벌새님!
      모두 무사히 잘 해결되었습니다
      정말 감사합니다 ㅎㅎ
      좋은정보도 잘 얻고 갑니다 ^^
      행복한 하루 되세요!

  • 오잉 2011.09.15 21:03 댓글주소 수정/삭제 댓글쓰기

    벌새님 마지막 단계까지 따라왔는데요
    2011 9자리숫자파일 삭제하라고하셨는데

    2011 8자리숫자파일이 3개있고
    2011 9자리숫자파일이 4개있어서
    4개삭제했는데
    8자리는 그냥두면되는건가요??

    • 유사한 패턴이 있는 것으로 보아서는 이전에 이미 감염된 적이 있었던 것으로 보입니다.

      참고로 해당 숫자 파일들은 모두 정상파일입니다.

      구지 삭제를 하지 않아도 되기는 합니다.

  • pes01 2011.09.24 00:27 댓글주소 수정/삭제 댓글쓰기

    벌새님 ㅠㅠ 올려주심글 잘읽고 다따라했습니다
    근데 맨마지막 폴더 이름이 변경이 안됩니다 yh. 라는 폴더인데요 어찌해야할지 모르겠습니다 v3로 정밀 검사해보면 더이상 바이러스가 발견되지는 않는걸로 봐서 지워진건 맞는거 같은데 너무 찜찜하네요

    • 폴더 삭제 안되는 것은 Unlocker를 이용해 보시기 바랍니다.

      그리고 V3에서 진단 안되시면 해결된 것으로 보입니다.

      그보다 윈도우 보안 패치와 Adobe Flash Player 최신 버전을 항상 체크해서 설치하시기 바랍니다.

      그게 핵심~!!!

  • bbbbbbbbbbbbbbb 2011.09.25 04:54 댓글주소 수정/삭제 댓글쓰기

    bb,감사합니다
    이것때문에 몇날밤 잠도 못자고.ㅠ.ㅠㅠㅠ
    검색해도 없고, 다 찾아봤는데도 방법이 없길래..
    포맷을 시킬수는 없어서... 아 그냥 이대로 써야하는건가
    하고 생각했는데.ㅠ.ㅠㅠㅠㅠㅠㅠㅠㅠㅠ

    은혜로우신 벌새님이 해결해 주셨어요
    ㅠㅠㅠ아 정말..ㅠ.ㅠㅠ감사합니다..ㅠㅠㅠ

    v3로 다시 검사해봤는데.. 바이러스 악성코드 없다고 뜨네요
    너무 행복합니다^^ 감사해요!

  • 안돼 바이러스ㅜ 2011.09.27 00:11 댓글주소 수정/삭제 댓글쓰기

    저도 지금 비슷한 증상이네요 yong 폴더는 없지만 yh. 폴더가 있구요 삭제도 안되고 바이러스 검사시 검출도 안됩니다,, ㅜㅜ올리신 내용 그대로 ws2help.dll 시작>검색 해보니 ws2help.dll 20kb 만 잡히네요,,그럼 안전한건지,, ㅜ

    • ws2help.dll 파일을 단순히 파일 크기로 판단하지 마시고, http://www.virustotal.com/ 여기 사이트에 업로드해서 국내외 보안 제품에서 진단하는지 확인해 보시는 것이 빠릅니다.

  • 안돼 바이러스ㅜ 2011.09.27 00:21 댓글주소 수정/삭제 댓글쓰기

    그리고 gmer로 yh. 폴더 안을 봤는데 안에 아무것도 없네요.. 그런데 왜 폴더를 못 여는진 모르겠지만 ㅠㅠ 안에 아무곳도 없어요

  • 안돼 바이러스ㅜ 2011.09.27 01:01 댓글주소 수정/삭제 댓글쓰기

    2011 파일도 하나도 없습니다 ..gmer로 폴더 안 확인해도 아무것도 없구요,,, 흠,,어찌해야할지 ,,ㄷㄷ 아무것도 없다할지라도 yh.폴더 삭제 하고싶은데 안전모드에서도 소용없네요..과연 이대로 안전할까요? 제가 던파 매일하는데 이넘때문에 몇일 해킹시도온듯,,ㄷㄷ

    • http://www.emptyloop.com/unlocker/

      해당 프로그램으로 폴더를 삭제해 보시기 바랍니다.

      그리고 파일 감염과 관련해서는 변종에 따라 다른 파일이 변경 및 생성되었을 수 있습니다.

  • 안돼 바이러스ㅜ 2011.09.27 01:32 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다 바이러스제로시즌2 에 답변도 달아주셧네요 ..ㅎㅎ unlocker로 폴더도 삭제 완료했어요!! 자동 업데이트도 설정했구요..그런데 adobe는 어케 하는지 모르겠네요 전에 취소를 해버려서..다시 안뜸 ㅜ

  • 컴터망가짐 2011.10.01 20:24 댓글주소 수정/삭제 댓글쓰기

    3. C:\WINDOWS\system32\ws2help.dll 시스템 파일의 확장자명을 변경합니다.(※ 예시 : ws2help.dll-)
    여기까지 했거든요?
    갑자기 화면다꺼지더니 인터넷도안들어가지고 맘대로 부팅됬습니다.
    당황해서 껐다켰더니 계속되는 부팅...
    컴터산지얼마안돼 컴터깨끗하게 쓰고싶은맘에 바이러스 치료하려했다가
    컴터만 망가졌네요 집에서도 뭐라고하고..
    지금피씨방에서 글을남깁니다. 어케해야할지몰르겠네요 안전모드로도 컴퓨터를 키려고해도 안켜지고 전문가를 부르는 수밖에없는건가요? 전 위에서 하라는대로 그대로 따라한것뿐인데 이렇게될줄은 몰랐네요

    • 해당 문제는 악성 파일(ws2help.dll)이 잘못 만들어져서 그런 것으로 알고 있습니다.

      이런 부분은 제가 어떻게 해드릴 수가 없네요.

      포멧을 하시는 방법이 제일 빠를 것 같습니다.

  • 정말 감사합니다. 2011.10.17 23:44 댓글주소 수정/삭제 댓글쓰기

    트로이에 한번 호되게 당한 이후로 관리를 하는 편인데, 여럿이 쓰는 컴이다보니
    혼자 아무리 해봤자 한번 또 이렇게 털리는군요... 사실 크진 않지만 작게 해킹을
    당한적이 있거든요... 잘 보고 따라해서 해결했습니다. 감사합니다!

  • 비밀댓글입니다

    • 그런 현상은 처음이라서 현재로서는 모르겠습니다.

      일단 윈도우 계정이 관리자 계정인지 확인해 보시기 바라며, 안전모드에서 다시 체크해 보시기 바랍니다.

  • 이런 ㅋㅋ 2011.11.09 21:18 댓글주소 수정/삭제 댓글쓰기

    삭제용 프로그램을 실행하니 블루스크린이 뜨는군요. ㅠㅠ

  • ㄹㄹㄹㄹ 2012.02.23 18:15 댓글주소 수정/삭제 댓글쓰기

    gMer프로그램을켯는대 블루스크린이뜨는대 이거어떻게하나요..ㅠ

  • 키안 2013.01.27 11:29 댓글주소 수정/삭제 댓글쓰기

    벌새님 감사합니다. 덕분에 잘 해결했네요..