국내 온라인 게임 넥슨(Nexon) 메이플스토리(MapleStory) 팬 사이트로 알려진 모 사이트가 최근 외부 공격으로 인해 악성코드가 유포됨에 따라 시스템 점검 상태로 전환을 하고 있는 것을 확인하였습니다.

이런 경우 일반적으로 해당 사이트에 접속할 경우 시스템 점검 안내 메시지와 관련된 그림 파일 하나만 노출되어 실제 감염으로 연결되는 경우는 쉽게 발견되지 않았던 것으로 기억됩니다.

그런데 해당 사이트 메인 소스를 확인해보면 악성 스크립트(cccc.html)이 추가되어 있으며, 실제 사이트를 방문할 경우 Internet Explorer 웹 브라우저 및 Adobe Flash Player 보안 패치가 제대로 설치되어 있지 않은 경우 자동으로 감염이 발생하는 것을 확인할 수 있습니다.


파일명 보안 제품 진단명
f1.html nProtect Script-JS/W32.Agent.DFD
f2.html Microsoft Exploit:JS/Mult.CY
real.swf Microsoft Exploit:SWF/CVE-2010-2884.B
e.avi Microsoft Exploit:Win32/CVE-2011-2140.A
ie.html avast! JS:CVE-2010-0806-BK [Expl]

유포와 관련된 세부적인 악성 파일을 확인해보면 CVE-2010-0806, CVE-2010-2884, CVE-2011-2140과 같은 Internet Explorer 웹 브라우저와 Adobe Flash Player 취약점을 이용한 악성 스크립트가 다수 발견되고 있는 것을 확인할 수 있습니다.

참고로 real.swf 파일 내부에는 2개의 쉘코드(ShellCode)가 포함되어 있으며, 하나는 또 다른 악성 swf 파일(ALYac : Exploit.SWF.ShellCode.Gen)을 통해 e.avi 파일을 다운로드하며, 다른 하나는 최종 파일인 gg.exe 파일을 다운로드하여 실행되도록 구성되어 있습니다.

최종 파일 gg.exe(MD5 : 5ad4764de02e8d533f27646433a272fb)에 대하여 nProtect 보안 제품에서는 Trojan-PWS/W32.WebGame.69008 (VirusTotal : 23/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\20111029113510.dll :: ws2help.dll 백업 파일(정상 파일)
※ 해당 파일은 2011(10자리 숫자).dll 파일 형태입니다.

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 42,892 Bytes
 - MD5 : 99ef5260558e6943e651e0d67de8739b
 - Hauri ViRobot : Trojan.Win32.PatchedDll.C (VirusTotal : 14/42)

C:\WINDOWS\system32\ws3help.dll :: ws2help.dll 백업 파일(정상 파일)

해당 악성코드는 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 악성 파일로 패치하며, ws2help.dll 시스템 파일은 ws3help.dll 파일로 백업을 하는 동작을 확인할 수 있습니다.

감염된 PC 환경에서 사용자가 Internet Explorer 웹 브라우저를 통해 피망(PMang), 한게임(Hangame), 넷마블(NetMarble), 넥슨(Nexon) 등 온라인 게임 사이트에서 로그인을 시도할 경우 iexplore.exe 프로세스에 삽입된 악성 ws2help.dll 파일이 계정 정보를 수집하여 외부로 유출을 시도하는 것을 확인할 수 있습니다.

실제 계정 정보가 유출되는 부분을 확인해보면 미국(USA)에 위치한 173.208.188.140 IP 서버로 아이디(ID), 비밀번호 등의 정보가 빠져 나가는 것을 확인할 수 있습니다.

또한 이런 과정에서 알약(ALYac), AhnLab V3, AhnLab SiteGuard, 네이버 백신(Naver Vaccine)과 같은 국내 사용자가 많이 이용하는 보안 제품의 기능을 무력화하여 악성 파일 진단으로부터 자신들을 보호하고 있습니다.

그러므로 해당 악성코드에 감염된 사용자는 치료가 완료될 때까지 사이트 로그인 동작을 하지 않는 것이 중요하며, 보안 제품 또는 수동으로 문제 해결을 한 후 반드시 Windows 및 Adobe Flash Player 최신 업데이트를 체크하시기 바랍니다.

1. C:\WINDOWS\system32\ws2help.dll 파일 확장자 변경(※ 예시 : ws2help.dll-)

참고로 악성 ws2help.dll 파일의 확장자명은 변경하면 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 ws2help.dll 시스템 파일이 복원이 이루어지므로 반드시 확인을 하시기 바랍니다.

2. 반드시 시스템 재부팅을 진행하시기 바랍니다.

3. 다음의 파일을 수동으로 삭제하시기 바랍니다.
  • C:\WINDOWS\system32\2011(10자리 숫자).dll
  • C:\WINDOWS\system32\ws2help.dll- :: 확장자명이 변경된 ws2help.dll 악성 파일
  • C:\WINDOWS\system32\ws3help.dll

일부 인터넷 사용자 중에서는 보안 패치가 이루어지지 않은 상태에서 특정 감염된 사이트 방문으로 자동으로 감염되어 어렵게 치료를 한 후, 또 다시 해당 사이트를 방문하여 감염되는 일이 많을 것으로 보입니다.

그러므로 특정 사이트 방문시 웹 브라우저가 이유없이 오류를 일으켜 종료되는 등의 문제가 발생하는 경우에는 1차적으로 해당 사이트 감염을 의심하시고 보안 제품을 통한 정밀 검사 및 보안 패치를 체크하시기 바랍니다.

또한 문제의 해당 사이트 방문은 몇 일의 시간 간격을 둔 후 재방문을 하시는 것이 가장 안전합니다. 하지만 이번 사례와 같이 악성코드로 인한 문제로 사이트 관리자가 시스템 점검을 하는 과정에서도 유포하는 사례가 있으므로 이런 메시지가 나오는 사이트 역시 방문을 최대한 연기하시는 것이 안전할 것으로 판단됩니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..