본문 바로가기

벌새::Analysis

spoo1sv.exe, ws2help.dll 파일을 이용한 온라인 게임 계정 수집 주의 (2011.11.11)

중국발 온라인 게임 계정 정보를 수집하여 금전적 피해를 유발하는 악성코드에 감염되는 사용자는 Windows 보안 패치 미설치와 Adobe Flash Player 최신 버전을 사용하지 않는 사용자들입니다.

이들 사용자는 웹하드, 언론, 커뮤니티 사이트 등에 접속할 경우 자동으로 감염으로 연결이 될 수 있으며, 감염 당시 사용자 PC에 설치된 보안 제품에서 진단하지 못할 경우에는 다음과 같은 증상도 목격할 수 있습니다.

즉, 평소 사용하던 안철수연구소(AhnLab) V3 Lite 무료 백신을 실행할 경우 "바로가기 오류" 창이 생성되며 백신 프로그램이 동작하지 않을 뿐만 아니라 실제 관련 파일들이 모두 삭제되어 있는 것을 확인할 수 있습니다.

최근 모 언론 사이트를 통해 유포되는 악성코드를 통해 어떻게 이런 동작이 가능한지 여부와 피해 및 수동 해결 방법에 대해 살펴보도록 하겠습니다.

참고로 해당 내용은 처리님이 작성하신 내용과 동일하므로 기술적 코드 부분에 대해서는 처리님 블로그 내용을 참고하시기 바랍니다.


파일명 보안 제품 진단명
tp.js Hauri ViRobot JS.S.Agent.13794.A
hhh.html Microsoft Exploit:JS/ShellCode.gen
KRPlayerse.swf nProtect Trojan- Exploit/W32.SWFlash.12234.OQ
e.avi Hauri ViRobot AVI.S.CVE-2011-2140.8471
fff.html Hauri ViRobot JS.S.Shellcode.35768
xxx.html Hauri ViRobot HTML.S.Agent.9191

해당 악성코드는 기존과 마찬가지로 Adobe Flash Player 취약점을 중심으로 감염을 유발하고 있으며, 최종적으로 암호화된 1027.jpg 파일을 다운로드하여 XOR을 통해 생성된 최종 파일(MD5 : 7e387136dc94130cacb6fa521cdbd49c)에 의해 감염이 이루어집니다.

해당 최종 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Patcher (VirusTotal : 19/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\spoo1sv.exe :: 최종 감염 파일(Dropper)
 - MD5 : 7e387136dc94130cacb6fa521cdbd49c
 - AhnLab V3 : Trojan/Win32.Patcher (VirusTotal : 19/43)

C:\WINDOWS\version.dat :: 버전 체크 파일
C:\WINDOWS\winurl.dat :: 감염 상태 체크 파일

C:\WINDOWS\system32\dllcache\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
 - MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
 - BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)

C:\WINDOWS\system32\wimedump.dll :: ws2help.dll 백업 파일 - 정상 파일

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
 - MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
 - BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)

C:\WINDOWS\Tasks\SA01.dat :: 악성 ws2help.dll 백업 파일
 - MD5 : c5db5d4ab9ae84e61ee5556016c7f270

C:\WINDOWS\Tasks\SA02.dat :: 악성 spoo1sv.exe 백업 파일
 - MD5 : 03074e35232f4af34fbc8713afbd4709

해당 악성코드에 감염된 PC 환경에서는 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일과 [C:\WINDOWS\system32\dllcache\ws2help.dll] 파일을 악성 파일로 패치하여 치료를 어렵게 하고 있습니다.

참고로 정상적인 ws2help.dll 시스템 파일은 [C:\WINDOWS\system32\wimedump.dll] 파일로 백업을 하고 있습니다.

또한 메모리에 spoo1sv.exe 파일을 상주시켜 주기적으로 AhnLab V3 Lite, AhnLab V3 365 Clinic, 네이버 백신(Naver Vaccine), 알약(ALYac) 보안 제품의 설치, 실행 방해, 삭제를 하는 동작을 확인할 수 있습니다.

SA01.dat

또한 SA01.dat(악성 ws2help.dll 파일), SA02.dat(악성 spoo1sv.exe 파일) 파일을 생성하여 ws2help.dll, spoo1sv.exe 파일을 백업해 두고 삭제되었을 경우 자동으로 복구하는 기능을 가지고 있습니다.

특히 이들 2개의 PE 구조의 .dat 파일의 헤더를 백신 프로그램의 진단을 우회할 목적으로 0x30 0x30으로 수정되어 있는 특징이 있습니다.

자가 복원 기능을 잠시 살펴보면 예를 들어 사용자가 메모리에 상주하는 spoo1sv.exe 프로세스를 수동으로 종료하고 해당 파일을 삭제 또는 확장자명을 변경한 상태에서, 다른 응용 소프트웨어가 동작할 경우 자동으로 파일 및 프로세스 복구가 이루어지는 것을 확인할 수 있습니다.

감염된 환경에서 사용자가 Internet Explorer 웹 브라우저를 통해 한게임(Hangame), 피망(PMang), 넥슨(Nexon) 등 온라인 게임 사이트에 접속하여 로그인을 시도할 경우 iexplore.exe 프로세스에 패치된 ws2help.dll 악성 파일을 통해 입력한 계정 정보가 외부로 유출되는 것을 확인할 수 있습니다.

참고로 테스트에서는 홍콩(HongKong)에 위치한 203.124.15.228 IP 서버로 계정 정보가 전송되는 것을 확인할 수 있었습니다.

해당 악성코드에 감염된 경우 보안 제품을 통한 치료가 어려울 경우 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

일부 파일 중에서는 Windows 기본값으로 파일이 보이지 않는 경우가 있으므로 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목 체크 해제, [숨김 파일 및 폴더 표시] 항목 선택을 하시기 바랍니다.

1. Windows 작업 관리자에서 spoo1sv.exe 프로세스를 종료합니다.

여기에서 주의할 점은 정상적인 시스템에 존재하는 [C:\Windows\System32\spoolsv.exe] 프로세스와 이름이 유사하므로 혼동하지 않도록 주의하시기 바랍니다.(※ spoo1sv.exe 프로세스 종료 후 불필요하게 다른 프로그램을 실행하지 않도록 하시기 바랍니다.)

2. GMER 도구를 이용하여 다음의 파일을 삭제하시기 바랍니다.
  • C:\WINDOWS\Tasks\SA01.dat
  • C:\WINDOWS\Tasks\SA02.dat

3. Windows 탐색기를 이용하여 [C:\WINDOWS\spoo1sv.exe] 파일을 삭제하시기 바랍니다.

4. [C:\WINDOWS\system32\wimedump.dll] 파일을 [C:\WINDOWS\system32\dllcache] 폴더에 복사합니다.

5. [C:\WINDOWS\system32\dllcache\ws2help.dll] 파일을 삭제합니다.

6. (4)번에서 복사한 [C:\WINDOWS\system32\dllcache\wimedump.dll] 파일을 ws2help.dll 파일로 이름을 변경합니다.

7. [C:\WINDOWS\system32\ws2help.dll] 파일의 확장자를 변경합니다.(※ 예시 : ws2help.dll-)

ws2help.dll 파일의 확장자를 변경한 경우에는 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 ws2help.dll 파일이 생성되므로 반드시 생성 여부를 체크하시기 바랍니다.

8. 반드시 시스템 재부팅을 한 후, 다음의 파일을 찾아 삭제를 하시기 바랍니다.
  • C:\WINDOWS\version.dat
  • C:\WINDOWS\winurl.dat
  • C:\WINDOWS\system32\wimedump.dll

모든 수동 문제 해결 절차에 따라 파일을 제거하신 사용자는 반드시 국내 유명 보안 제품을 이용하여 정밀 검사를 진행하시기 바라며, 해당 악성코드에 감염된 원인이 Windows 보안 패치 미설치와 Adobe Flash Player 최신 버전을 사용하지 않았기 때문이므로 반복적인 감염을 예방하기 위해서는 최신 보안 패치를 모두 설치하시기 바랍니다.

  • 이전 댓글 더보기
  • 최근에 여러 컴퓨터에서 발견되었던 바이러스네요.
    하필이면 V3Lite를 사용하던 컴퓨터들이라서 삭제하는데 애먹었습니다.
    (이놈의 바이러스는 안전모드에서도 살아나더랍니다.)


    저도 위의 방법이랑 거의 비슷하게 치료했네요. ws2help.dll 파일이 여러곳에 인젝션 되어있어서 Unlocker로도 쉽게 안풀렸고, exe 파일이 죽여도 살아났는데 위의 방법처럼 dll 파일 이름을 바꿔서 exe 파일과 함께 Unlocker 삭제명령 주고 정상 ws2help.dll 파일 구해서 홀드 시킨다음에 재부팅했더니 겨우 치료했더랍니다.

    그런데 저 같은 경우에는 윈도가 dll 복구시켜도 다시 변조되던데 벌새님의 경우와는 약간 다르네요. ㅎㅎ

    • dll 복구해도 변조되는 것은 아마 dllcache 파일 내부의 dll 파일을 먼저 복구하지 않아서 그런게 아닐까도 싶습니다.

      아니면 exe 파일을 먼저 죽이지 않아서 그럴지도 모르죠.

  • 감사합니다 2011.11.12 13:01 댓글주소 수정/삭제 댓글쓰기

    정말감사합니다 ㅠ
    어느 치료방법으로도 치료가 안되고 자꾸 살아났었는데
    우연히 벌새님 글을 발견하고 마지막으로 한번만더! 했는데 완전히 삭제가 됐습니다
    정말정말 감사합니다ㅠㅠ
    좋은하루되세요!

  • 알려주세요 2011.11.12 19:54 댓글주소 수정/삭제 댓글쓰기

    ws2help.dll 확장자 바꾸는거까지 했는데여 그 뒤에
    자동생성이 안되서 재부팅을 했는데
    파란화면 뜨면서 부팅이안돠네요 ㅠㅡㅠ
    이 파일 없어서 그런걸까요? ㅜㅜ

    • ws2help.dll 파일이 생성 안되면 재부팅이 안됩니다.ㅠㅠ

      http://alyac.altools.co.kr/Customer/CS/FaqView.aspx?id=1516&subcategory=0&keyword=

      재부팅 안되는 문제는 반드시 윈도우 CD가 있는 상태에서 해당 링크를 통해 문제를 해결하시기 바랍니다.

  • 마지막 2011.11.13 00:28 댓글주소 수정/삭제 댓글쓰기

    8. 반드시 시스템 재부팅을 한 후, 다음의 파일을 찾아 삭제를 하시기 바랍니다.

    C:\WINDOWS\version.dat
    C:\WINDOWS\winurl.dat
    C:\WINDOWS\system32\wimedump.dll

    여기서 마지막에 wimedump.dll 이 파일이 삭제가 안되는데 어떻게하면되죠??

    • 해당 파일은 정상 파일로 삭제를 할 필요까지는 없습니다.

      이 글은 클린 상태로 최대한 유지할 목적으로 감염으로 인해 생긴 모든 파일을 다루다보니 삭제를 하라고 언급하였습니다.

      근데 이 파일은 ws2help.dll 파일이 정상적으로 돌아왔다면 삭제가 될텐데.. ws2help.dll 파일을 정상 파일로 수정했는지 좀 의문이 듭니다.

  • 벌새 님 , 이 글 트랙백 보내주신 것이 차단되어 복원해 놓았습니다 ...

    요즈음 이상하게 왜 차단되었는지도 모르게 차단되는 경우가 많네요 ...

    댓글도 , 방명록도 .... 이제는 트랙백까지 ㅠ ㅜ

  • 해결 2011.11.29 00:59 댓글주소 수정/삭제 댓글쓰기

    벌새님 감사합니다 벌새님 덕분에 해결 했네요 벌새님 같은 분들이 계셔서 바이러스 걸려도 맘 편히 해결할수있네요 ㅎㅎ 고맙습니다

  • 안녕하세요 2011.12.04 17:27 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 벌새님.
    갑자기 바이러스 치료하래서 봤는데(전 브로드밴드 백신씁니다)
    html.s.agent.438이라는 바이러스가 떠서 그런데
    비슷한 부륜가요??

    • 진단명을 봐서는 악성 스크립트 파일을 진단한 것 같습니다.

      아마 사용자가 악성 파일을 유포하는 웹 사이트 접속시 감염을 유발하는 스크립트를 차단한 것으로 보이며, 보통 국내 사이트에서 해당 진단명이 나왔다면 아마 비슷한 계열일 것으로 보입니다.

  • 2011.12.17 14:25 댓글주소 수정/삭제 댓글쓰기

    그 뭐지 안철수연구소에서 전용 백신 받아서 게임 꺼질때마다 치료하는데 하루 뒤면 또 감염되서 또 꺼지고 또 치료해서 되면 하루뒤에 또 그러고 그러네요.. 어도비 플래시 최신이고 윈도우 보안패치도 한것같은데..
    바이러스 명은 뒤에 help 붙는거 같던데.. 미치겠네요 왜 자꾸 감염되죠?

    • 해당 악성코드 감염은 사용자가 윈도우 보안 업데이트를 설치하지 않은 경우, Adobe Flash Player 최신 버전 미사용, Oracle JRE 프로그램 설치된 경우 최신 버전 미사용인 경우입니다.

      이런 경우 웹하드, 언론 사이트 등 국내 웹 사이트 방문시 감염된 웹 사이트에서는 접속과 동시에 자동 감염됩니다.

      그러므로 보안 패치를 모두 설치하셔야 합니다.

  • 2011.12.18 11:54 댓글주소 수정/삭제 댓글쓰기

    네 어도비플래시플레이어 최신으로 업뎃했구요 자바도 올려주신 7.1인가 7.2인가로 업데이트했구요 윈도우 보안 업데이트도 방금 싹 다 끝내고 v3에 온라인게임꺼짐현상 전용백신으로 검사해서 치료하고 재부팅했는데도 안되네요.. 심지어는 알약까지 안켜져요.. 어쩌면 좋죠
    물론 여기 있는 방법은 다 했어요.. 근데 여기에서 삭제하라는거 대부분이 없어요 그래서 거의 삭제못함..

    • 보안 업데이트는 감염을 방지하는 기능이지 이미 감염된 상태에서는 감염된 부분에 대해서는 치료해 줘야 합니다.

      보안 제품이 동작하지 않는 부분을 보니 감염된 상태는 분명하며, 아마 주말동안 전용 백신에 새로운 악성코드까지 반영이 안되므로 월요일이나 화요일까지는 기다려 보시기 바랍니다.

      그리고 전용백신은 반드시 보안 업체 홈페이지에서 다운로드하시기 바라며, 한 번 사용 후에는 재사용시 다시 다운로드하시기 바랍니다.

  • dll 2011.12.27 11:36 댓글주소 수정/삭제 댓글쓰기

    wimedump를 dllcache 여기에 복사하려니까 windows\system32 여기에 dllcache폴더가 없는데 어떻하죠? 음..제가 이 블로그를 보기전에 ALYacRemovalTool(KillAlyac) 이라는 백신으로 한번 검사를 했는데 여러가지 감염된 것들중 'ws2help'라는게 있었는데 유난히 이것만 '치료가능'이라고 나타나질 않고 '복원'이라고 나타나더라고요.
    그래서 복원을 눌렀더니 무슨 시디를 넣으라는 둥..
    하여튼 이것과 관련이 있을런지 모르겠네요

    아, 지금보니까 위에말한 백신프로그램으로 ws2help를 나타내는 경로에서는 C:\windows\system32\dllcache\ws2help.dll
    라고 나와있네요.. 폴더옵션에서 숨김보기를 해놔도 안보이던데 어떻게 하죠?

    • 폴더 옵션에서 "보호된 운영 체제 파일 숨기기" 항목의 체크를 해제하시면 보입니다.

    • 전용 백신 부분은 확인해 보지 않아서 모르지만, 보통 알약에서 윈도우 시디를 넣으라고 표시된다는 점은 dllcache 파일까지 감염되었거나 삭제된 경우가 아닌가 싶습니다.

      이런 경우에는 윈도우 CD가 필요할 것으로 보입니다.

      자세한 부분은 알약에 문의를 해보시기 바랍니다.

  • dll 2011.12.27 11:37 댓글주소 수정/삭제 댓글쓰기

    이야.. 빠른 답변 정말로 감사드립니다.
    제 생각에도 윈도우cd가 필요할 것 같네요..
    감사합니다

  • 2012.01.01 20:10 댓글주소 수정/삭제 댓글쓰기

    감사합니다
    덕분에 V3도 정상적으로 실행할 수 있게 되었고
    위에서 말씀하신 악성코드도 잡았습니다 ㅠㅠ
    새해 첫날인데 새해복 많이 받으세요!
    좋은정보 주셔서 정말 정말 감사합니다!

  • 도와주세요~ 2012.01.01 21:01 댓글주소 수정/삭제 댓글쓰기

    정말 이건 또 뭔 변종인지 모르겠네요;;

    저같은경우 저번에도 언노운 하드에러 뜬적이 있어서 복구콘솔 돌려서 복구시켰습니다. 그런데 이번엔 복구가 안되길래 어찌저찌했더니 부팅할떄 윈도우가 두개가 되버리더라구요. 일단 다른윈도우로 들어가봤더니 두개가 연결은 되있더랍니다. 다른 하나로 들어가서 또다른 윈도우에 있는 프로그램파일에 들어가 시스템 파일에있는 ws2help.dll파일 뒤에 뭐가 막 더 붙어있길래 일단 그 뒤에 붙은걸 지우고 재부팅해서 문제의 윈도우로 돌아왔습니다.

    그리고 글을 쭉 읽어봤는데 어느분 블로그에서는 ws3help.dll이라는 파일이 있으면 바이러스감염이 맞다고 하시더군요. 하지만 제 하드에는 이 파일이 없었습니다.

    그래서 계속 찾다가 우연히 이곳에 들리게 되었는데요.

    우선 단계별로 시도하려했지만 첫번째 단계와 세번째단계에 있는 [C:\WINDOWS\spoo1sv.exe] 파일을 찾아봤지만 우선 이 파일 자체가 없었습니다.

    그래서 일단 무시하고 다음단계로 넘어갔는데 두번째 단계또한 막히네요;;

    gmer 다운받으니까 블루스크린뜨면서 컴퓨터가 데미지를 입을것을 염려하여 차단했다 불라불라 하더군요 ;;;

    한번더 시도해봤지만 결과는 마찬가지였습니다. 그래서 일단 뛰어넘고 네번째로 가는데 이번에도 역시나 걸리네요 허참...

    dllcache 폴더가 없는겁니다. 그래서 혹시 숨김폴더를 드러내지 않았나? 해서

    확인해봤는데 드러내지 않았더라구요. 그래서 드러내놓고 찾아봤지만 얼레?

    이번에도 없습니다;;;

    그래서 강제로 문서위 주소탭에다 dllcache 폴더를 치고 될대로 되라! 라는식으로

    엔터를 했더니 얼씨구? 들어가지네요. 그래서 5,6,7번은 끝마쳤습니다.

    지금 8번 시도하려고 하는데요 대체 왜 단계마다 이렇게 문제가 있었는지 궁금합니다. 아참! 그리고 방금 생각났는데 dllcache에 있는 ws2help폴더를 클릭하니 그때서야 알약이 갑자기 인식하고 삭제를 요하더라구요;;; 이건 또 왜이러는지 모르겠네요. 첫번째단계부터 네번째단계까지 정상적으로 된게 없어서 질문드립니다.

    해결방법이 없을까요?

    gmer실행시 뜨는 블루스크린에 대해 더 자세히 써야한다면 더 자세히 쓰겠습니다. 도와주세요...

    • 윈도우가 2개가 되었다는 것은 아마 처음 사용하던 윈도우에서 복구를 할 목적으로 윈도우 상에서 윈도우 CD(이미지)를 통해 다른 윈도우를 또 설치하신 것 같습니다.

      이런 경우에는 개인적으로 포맷을 통해 시스템을 하나만 설치하시고 이용하시기 바랍니다.

      워낙 이놈이 유사한 변종이 많아서 ws2help.dll 시스템 파일을 패치하는 형태가 다를 수 있습니다.ㅠㅠ

      dllcache 폴더는 숨김 속성 + 시스템 속성이므로 폴더 옵션에서 시스템 폴더(파일) 보호 기능을 해제하셔야 합니다.

      결론적으로 내용상으로 봐서는 치료를 하셔도 윈도우 2개 문제로 일단 중요한 파일을 백업하시고 포맷을 하시는게 좋을 것으로 보입니다.

      블루 스크린 문제는 시스템이 불안정한 경우에 발생할 수 있습니다. GMER 프로그램 자체가 루트킷 진단을 목적으로 하므로 상당히 파고드는 프로그램이거든요.

  • 도와주세요~ 2012.01.02 12:05 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 많은 도움 얻고갑니다. 이거 참 무섭네요 안걸리겠다고 해서 안걸리는것도 아니고 ;;

  • 도와주세요~ 2012.01.02 12:22 댓글주소 수정/삭제 댓글쓰기

    아 그렇군요 좋은정보 감사합니다. 새해 복 많이 받으세요 ^^

  • 도와주세요~ 2012.01.02 12:36 댓글주소 수정/삭제 댓글쓰기

    아참 하나만 더 질문하겠습니다. 저 바이러스가 온라인 게임 계정을 수집한다고 하셨는데 그러면 저처럼 파일명 변경까지 일어난 말기증상에서는 현재 사용중인 온라인게임 사이트의 모든 비밀번호를 변경해야 하는건가요?

    • 일단 감염된 상태에서 온라인 게임 로그인을 하였다면 정보가 유출되었을 것으로 보입니다.

      그러므로 되도록 치료 후에는 반드시 비밀번호를 변경하시는 것이 안전합니다.

  • 감사합니다 2012.01.04 11:03 댓글주소 수정/삭제 댓글쓰기

    많은 도움얻고갑니다 ^^ 혹여나 피해가 안간다면 다른분들에게도 알려드리고 싶은데.. 퍼가도 될까요?

  • 안녕하세요 ㅜ 2012.04.21 19:48 댓글주소 수정/삭제 댓글쓰기

    저기 근데 ㅜㅜ spoo1프로세스 삭제하라는 걸 spool프로세스를 지웠는데 ㅜ 어떻게하면 되나요?

    • 일반적으로 시스템 파일을 삭제하면 자동으로 복구하는 기능이 있으므로 아마 재복구가 되었을 것으로 생각됩니다.

      파일 삭제 후에 윈도우 탐색기를 종료하고 재실행해서 시스템 폴더 내의 삭제하였던 해당 spool.. 이 파일을 찾아보시기 바랍니다.

  • 2012.04.21 21:49 댓글주소 수정/삭제 댓글쓰기

    좀만 쉽게.... 보기 편하게라도,,,
    이게 한글인지....배운지 10년이 넘은 한글이 어색하네요 ㅋㅋㅋㅋ

  • 아으 2012.05.14 04:22 댓글주소 수정/삭제 댓글쓰기

    어떤 건지는 잘모르겠지만 분명 그 검사 과정에서 ws2help.dll랑 trojan같은게 나오긴해서 이거에 감염된거 같기는 한데
    1. Windows 작업 관리자에서 spoo1sv.exe 프로세스를 종료합니다.
    에서 작업 관리자 켜보면 spoo1은 나오는데 spoo1sv.exe은 안나옵니다.

    이건 어떻게 해야하는 경우죠?...