spoo1sv.exe, ws2help.dll 파일을 이용한 온라인 게임 계정 수집 주의 (2011.11.11)
벌새::Analysis중국발 온라인 게임 계정 정보를 수집하여 금전적 피해를 유발하는 악성코드에 감염되는 사용자는 Windows 보안 패치 미설치와 Adobe Flash Player 최신 버전을 사용하지 않는 사용자들입니다.
이들 사용자는 웹하드, 언론, 커뮤니티 사이트 등에 접속할 경우 자동으로 감염으로 연결이 될 수 있으며, 감염 당시 사용자 PC에 설치된 보안 제품에서 진단하지 못할 경우에는 다음과 같은 증상도 목격할 수 있습니다.
이들 사용자는 웹하드, 언론, 커뮤니티 사이트 등에 접속할 경우 자동으로 감염으로 연결이 될 수 있으며, 감염 당시 사용자 PC에 설치된 보안 제품에서 진단하지 못할 경우에는 다음과 같은 증상도 목격할 수 있습니다.
즉, 평소 사용하던 안철수연구소(AhnLab) V3 Lite 무료 백신을 실행할 경우 "바로가기 오류" 창이 생성되며 백신 프로그램이 동작하지 않을 뿐만 아니라 실제 관련 파일들이 모두 삭제되어 있는 것을 확인할 수 있습니다.
최근 모 언론 사이트를 통해 유포되는 악성코드를 통해 어떻게 이런 동작이 가능한지 여부와 피해 및 수동 해결 방법에 대해 살펴보도록 하겠습니다.
최근 모 언론 사이트를 통해 유포되는 악성코드를 통해 어떻게 이런 동작이 가능한지 여부와 피해 및 수동 해결 방법에 대해 살펴보도록 하겠습니다.
참고로 해당 내용은 처리님이 작성하신 내용과 동일하므로 기술적 코드 부분에 대해서는 처리님 블로그 내용을 참고하시기 바랍니다.
| 파일명 | 보안 제품 | 진단명 |
| tp.js | Hauri ViRobot | JS.S.Agent.13794.A |
| hhh.html | Microsoft | Exploit:JS/ShellCode.gen |
| KRPlayerse.swf | nProtect | Trojan- Exploit/W32.SWFlash.12234.OQ |
| e.avi | Hauri ViRobot | AVI.S.CVE-2011-2140.8471 |
| fff.html | Hauri ViRobot | JS.S.Shellcode.35768 |
| xxx.html | Hauri ViRobot | HTML.S.Agent.9191 |
해당 악성코드는 기존과 마찬가지로 Adobe Flash Player 취약점을 중심으로 감염을 유발하고 있으며, 최종적으로 암호화된 1027.jpg 파일을 다운로드하여 XOR을 통해 생성된 최종 파일(MD5 : 7e387136dc94130cacb6fa521cdbd49c)에 의해 감염이 이루어집니다.
해당 최종 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Patcher (VirusTotal : 19/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
[생성 파일 및 진단 정보]
C:\WINDOWS\spoo1sv.exe :: 최종 감염 파일(Dropper)
- MD5 : 7e387136dc94130cacb6fa521cdbd49c
- AhnLab V3 : Trojan/Win32.Patcher (VirusTotal : 19/43)
C:\WINDOWS\version.dat :: 버전 체크 파일
C:\WINDOWS\winurl.dat :: 감염 상태 체크 파일
C:\WINDOWS\system32\dllcache\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
- MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
- BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)
C:\WINDOWS\system32\wimedump.dll :: ws2help.dll 백업 파일 - 정상 파일
C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
- MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
- BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)
C:\WINDOWS\Tasks\SA01.dat :: 악성 ws2help.dll 백업 파일
- MD5 : c5db5d4ab9ae84e61ee5556016c7f270
C:\WINDOWS\Tasks\SA02.dat :: 악성 spoo1sv.exe 백업 파일
- MD5 : 03074e35232f4af34fbc8713afbd4709
C:\WINDOWS\spoo1sv.exe :: 최종 감염 파일(Dropper)
- MD5 : 7e387136dc94130cacb6fa521cdbd49c
- AhnLab V3 : Trojan/Win32.Patcher (VirusTotal : 19/43)
C:\WINDOWS\version.dat :: 버전 체크 파일
C:\WINDOWS\winurl.dat :: 감염 상태 체크 파일
C:\WINDOWS\system32\dllcache\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
- MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
- BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)
C:\WINDOWS\system32\wimedump.dll :: ws2help.dll 백업 파일 - 정상 파일
C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
- MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
- BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)
C:\WINDOWS\Tasks\SA01.dat :: 악성 ws2help.dll 백업 파일
- MD5 : c5db5d4ab9ae84e61ee5556016c7f270
C:\WINDOWS\Tasks\SA02.dat :: 악성 spoo1sv.exe 백업 파일
- MD5 : 03074e35232f4af34fbc8713afbd4709
특히 이들 2개의 PE 구조의 .dat 파일의 헤더를 백신 프로그램의 진단을 우회할 목적으로 0x30 0x30으로 수정되어 있는 특징이 있습니다.
참고로 테스트에서는 홍콩(HongKong)에 위치한 203.124.15.228 IP 서버로 계정 정보가 전송되는 것을 확인할 수 있었습니다.
해당 악성코드에 감염된 경우 보안 제품을 통한 치료가 어려울 경우 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)
1. Windows 작업 관리자에서 spoo1sv.exe 프로세스를 종료합니다.
2. GMER 도구를 이용하여 다음의 파일을 삭제하시기 바랍니다.
- C:\WINDOWS\Tasks\SA01.dat
- C:\WINDOWS\Tasks\SA02.dat
4. [C:\WINDOWS\system32\wimedump.dll] 파일을 [C:\WINDOWS\system32\dllcache] 폴더에 복사합니다.
5. [C:\WINDOWS\system32\dllcache\ws2help.dll] 파일을 삭제합니다.
6. (4)번에서 복사한 [C:\WINDOWS\system32\dllcache\wimedump.dll] 파일을 ws2help.dll 파일로 이름을 변경합니다.
7. [C:\WINDOWS\system32\ws2help.dll] 파일의 확장자를 변경합니다.(※ 예시 : ws2help.dll-)
8. 반드시 시스템 재부팅을 한 후, 다음의 파일을 찾아 삭제를 하시기 바랍니다.
- C:\WINDOWS\version.dat
- C:\WINDOWS\winurl.dat
- C:\WINDOWS\system32\wimedump.dll
모든 수동 문제 해결 절차에 따라 파일을 제거하신 사용자는 반드시 국내 유명 보안 제품을 이용하여 정밀 검사를 진행하시기 바라며, 해당 악성코드에 감염된 원인이 Windows 보안 패치 미설치와 Adobe Flash Player 최신 버전을 사용하지 않았기 때문이므로 반복적인 감염을 예방하기 위해서는 최신 보안 패치를 모두 설치하시기 바랍니다.
'벌새::Analysis' 카테고리의 다른 글
| 검색 도우미 : SideOh (0) | 2011.11.11 |
|---|---|
| 개인정보 보안 솔루션 : 데이터세이브(DataSave) (7) | 2011.11.11 |
| spoo1sv.exe, ws2help.dll 파일을 이용한 온라인 게임 계정 수집 주의 (2011.11.11) (41) | 2011.11.11 |
| 국내 악성코드 : Win Search forxercle (0) | 2011.11.08 |
| 검색 도우미 : 오픈탭(OpenTab) (0) | 2011.11.08 |
| G코덱 설치로 인한 오픈탭(OpenTab) 광고 주의 (2011.11.7) (0) | 2011.11.07 |
댓글을 달아 주세요
최근에 여러 컴퓨터에서 발견되었던 바이러스네요.
하필이면 V3Lite를 사용하던 컴퓨터들이라서 삭제하는데 애먹었습니다.
(이놈의 바이러스는 안전모드에서도 살아나더랍니다.)
저도 위의 방법이랑 거의 비슷하게 치료했네요. ws2help.dll 파일이 여러곳에 인젝션 되어있어서 Unlocker로도 쉽게 안풀렸고, exe 파일이 죽여도 살아났는데 위의 방법처럼 dll 파일 이름을 바꿔서 exe 파일과 함께 Unlocker 삭제명령 주고 정상 ws2help.dll 파일 구해서 홀드 시킨다음에 재부팅했더니 겨우 치료했더랍니다.
그런데 저 같은 경우에는 윈도가 dll 복구시켜도 다시 변조되던데 벌새님의 경우와는 약간 다르네요. ㅎㅎ
dll 복구해도 변조되는 것은 아마 dllcache 파일 내부의 dll 파일을 먼저 복구하지 않아서 그런게 아닐까도 싶습니다.
아니면 exe 파일을 먼저 죽이지 않아서 그럴지도 모르죠.
감사합니다
정말감사합니다 ㅠ
어느 치료방법으로도 치료가 안되고 자꾸 살아났었는데
우연히 벌새님 글을 발견하고 마지막으로 한번만더! 했는데 완전히 삭제가 됐습니다
정말정말 감사합니다ㅠㅠ
좋은하루되세요!
다행이군요. 감사합니다.^^
그리고 보안 패치를 반드시 설치하세요.
알려주세요
ws2help.dll 확장자 바꾸는거까지 했는데여 그 뒤에
자동생성이 안되서 재부팅을 했는데
파란화면 뜨면서 부팅이안돠네요 ㅠㅡㅠ
이 파일 없어서 그런걸까요? ㅜㅜ
ws2help.dll 파일이 생성 안되면 재부팅이 안됩니다.ㅠㅠ
http://alyac.altools.co.kr/Customer/CS/FaqView.aspx?id=1516&subcategory=0&keyword=
재부팅 안되는 문제는 반드시 윈도우 CD가 있는 상태에서 해당 링크를 통해 문제를 해결하시기 바랍니다.
마지막
8. 반드시 시스템 재부팅을 한 후, 다음의 파일을 찾아 삭제를 하시기 바랍니다.
C:\WINDOWS\version.dat
C:\WINDOWS\winurl.dat
C:\WINDOWS\system32\wimedump.dll
여기서 마지막에 wimedump.dll 이 파일이 삭제가 안되는데 어떻게하면되죠??
해당 파일은 정상 파일로 삭제를 할 필요까지는 없습니다.
이 글은 클린 상태로 최대한 유지할 목적으로 감염으로 인해 생긴 모든 파일을 다루다보니 삭제를 하라고 언급하였습니다.
근데 이 파일은 ws2help.dll 파일이 정상적으로 돌아왔다면 삭제가 될텐데.. ws2help.dll 파일을 정상 파일로 수정했는지 좀 의문이 듭니다.
벌새 님 , 이 글 트랙백 보내주신 것이 차단되어 복원해 놓았습니다 ...
요즈음 이상하게 왜 차단되었는지도 모르게 차단되는 경우가 많네요 ...
댓글도 , 방명록도 .... 이제는 트랙백까지 ㅠ ㅜ
가끔 티스토리가 그럴 때가 있더군요.^^
해결
벌새님 감사합니다 벌새님 덕분에 해결 했네요 벌새님 같은 분들이 계셔서 바이러스 걸려도 맘 편히 해결할수있네요 ㅎㅎ 고맙습니다
바이러스 걸리지 마세요.^^
보안 패치를 꼭 설치하시고 인터넷 하시고 이런걸로 고생할 이유가 없습니다.
안녕하세요
안녕하세요 벌새님.
갑자기 바이러스 치료하래서 봤는데(전 브로드밴드 백신씁니다)
html.s.agent.438이라는 바이러스가 떠서 그런데
비슷한 부륜가요??
진단명을 봐서는 악성 스크립트 파일을 진단한 것 같습니다.
아마 사용자가 악성 파일을 유포하는 웹 사이트 접속시 감염을 유발하는 스크립트를 차단한 것으로 보이며, 보통 국내 사이트에서 해당 진단명이 나왔다면 아마 비슷한 계열일 것으로 보입니다.
ㅇ
그 뭐지 안철수연구소에서 전용 백신 받아서 게임 꺼질때마다 치료하는데 하루 뒤면 또 감염되서 또 꺼지고 또 치료해서 되면 하루뒤에 또 그러고 그러네요.. 어도비 플래시 최신이고 윈도우 보안패치도 한것같은데..
바이러스 명은 뒤에 help 붙는거 같던데.. 미치겠네요 왜 자꾸 감염되죠?
해당 악성코드 감염은 사용자가 윈도우 보안 업데이트를 설치하지 않은 경우, Adobe Flash Player 최신 버전 미사용, Oracle JRE 프로그램 설치된 경우 최신 버전 미사용인 경우입니다.
이런 경우 웹하드, 언론 사이트 등 국내 웹 사이트 방문시 감염된 웹 사이트에서는 접속과 동시에 자동 감염됩니다.
그러므로 보안 패치를 모두 설치하셔야 합니다.
ㅇ
네 어도비플래시플레이어 최신으로 업뎃했구요 자바도 올려주신 7.1인가 7.2인가로 업데이트했구요 윈도우 보안 업데이트도 방금 싹 다 끝내고 v3에 온라인게임꺼짐현상 전용백신으로 검사해서 치료하고 재부팅했는데도 안되네요.. 심지어는 알약까지 안켜져요.. 어쩌면 좋죠
물론 여기 있는 방법은 다 했어요.. 근데 여기에서 삭제하라는거 대부분이 없어요 그래서 거의 삭제못함..
보안 업데이트는 감염을 방지하는 기능이지 이미 감염된 상태에서는 감염된 부분에 대해서는 치료해 줘야 합니다.
보안 제품이 동작하지 않는 부분을 보니 감염된 상태는 분명하며, 아마 주말동안 전용 백신에 새로운 악성코드까지 반영이 안되므로 월요일이나 화요일까지는 기다려 보시기 바랍니다.
그리고 전용백신은 반드시 보안 업체 홈페이지에서 다운로드하시기 바라며, 한 번 사용 후에는 재사용시 다시 다운로드하시기 바랍니다.
dll
wimedump를 dllcache 여기에 복사하려니까 windows\system32 여기에 dllcache폴더가 없는데 어떻하죠? 음..제가 이 블로그를 보기전에 ALYacRemovalTool(KillAlyac) 이라는 백신으로 한번 검사를 했는데 여러가지 감염된 것들중 'ws2help'라는게 있었는데 유난히 이것만 '치료가능'이라고 나타나질 않고 '복원'이라고 나타나더라고요.
그래서 복원을 눌렀더니 무슨 시디를 넣으라는 둥..
하여튼 이것과 관련이 있을런지 모르겠네요
아, 지금보니까 위에말한 백신프로그램으로 ws2help를 나타내는 경로에서는 C:\windows\system32\dllcache\ws2help.dll
라고 나와있네요.. 폴더옵션에서 숨김보기를 해놔도 안보이던데 어떻게 하죠?
폴더 옵션에서 "보호된 운영 체제 파일 숨기기" 항목의 체크를 해제하시면 보입니다.
전용 백신 부분은 확인해 보지 않아서 모르지만, 보통 알약에서 윈도우 시디를 넣으라고 표시된다는 점은 dllcache 파일까지 감염되었거나 삭제된 경우가 아닌가 싶습니다.
이런 경우에는 윈도우 CD가 필요할 것으로 보입니다.
자세한 부분은 알약에 문의를 해보시기 바랍니다.
dll
이야.. 빠른 답변 정말로 감사드립니다.
제 생각에도 윈도우cd가 필요할 것 같네요..
감사합니다
★
감사합니다
덕분에 V3도 정상적으로 실행할 수 있게 되었고
위에서 말씀하신 악성코드도 잡았습니다 ㅠㅠ
새해 첫날인데 새해복 많이 받으세요!
좋은정보 주셔서 정말 정말 감사합니다!
다행이시군요. 보안 패치를 잊지 마시고 하신다면 이런 것은 감염되고 싶어도 쉽게 감염 안됩니다.
도와주세요~
정말 이건 또 뭔 변종인지 모르겠네요;;
저같은경우 저번에도 언노운 하드에러 뜬적이 있어서 복구콘솔 돌려서 복구시켰습니다. 그런데 이번엔 복구가 안되길래 어찌저찌했더니 부팅할떄 윈도우가 두개가 되버리더라구요. 일단 다른윈도우로 들어가봤더니 두개가 연결은 되있더랍니다. 다른 하나로 들어가서 또다른 윈도우에 있는 프로그램파일에 들어가 시스템 파일에있는 ws2help.dll파일 뒤에 뭐가 막 더 붙어있길래 일단 그 뒤에 붙은걸 지우고 재부팅해서 문제의 윈도우로 돌아왔습니다.
그리고 글을 쭉 읽어봤는데 어느분 블로그에서는 ws3help.dll이라는 파일이 있으면 바이러스감염이 맞다고 하시더군요. 하지만 제 하드에는 이 파일이 없었습니다.
그래서 계속 찾다가 우연히 이곳에 들리게 되었는데요.
우선 단계별로 시도하려했지만 첫번째 단계와 세번째단계에 있는 [C:\WINDOWS\spoo1sv.exe] 파일을 찾아봤지만 우선 이 파일 자체가 없었습니다.
그래서 일단 무시하고 다음단계로 넘어갔는데 두번째 단계또한 막히네요;;
gmer 다운받으니까 블루스크린뜨면서 컴퓨터가 데미지를 입을것을 염려하여 차단했다 불라불라 하더군요 ;;;
한번더 시도해봤지만 결과는 마찬가지였습니다. 그래서 일단 뛰어넘고 네번째로 가는데 이번에도 역시나 걸리네요 허참...
dllcache 폴더가 없는겁니다. 그래서 혹시 숨김폴더를 드러내지 않았나? 해서
확인해봤는데 드러내지 않았더라구요. 그래서 드러내놓고 찾아봤지만 얼레?
이번에도 없습니다;;;
그래서 강제로 문서위 주소탭에다 dllcache 폴더를 치고 될대로 되라! 라는식으로
엔터를 했더니 얼씨구? 들어가지네요. 그래서 5,6,7번은 끝마쳤습니다.
지금 8번 시도하려고 하는데요 대체 왜 단계마다 이렇게 문제가 있었는지 궁금합니다. 아참! 그리고 방금 생각났는데 dllcache에 있는 ws2help폴더를 클릭하니 그때서야 알약이 갑자기 인식하고 삭제를 요하더라구요;;; 이건 또 왜이러는지 모르겠네요. 첫번째단계부터 네번째단계까지 정상적으로 된게 없어서 질문드립니다.
해결방법이 없을까요?
gmer실행시 뜨는 블루스크린에 대해 더 자세히 써야한다면 더 자세히 쓰겠습니다. 도와주세요...
윈도우가 2개가 되었다는 것은 아마 처음 사용하던 윈도우에서 복구를 할 목적으로 윈도우 상에서 윈도우 CD(이미지)를 통해 다른 윈도우를 또 설치하신 것 같습니다.
이런 경우에는 개인적으로 포맷을 통해 시스템을 하나만 설치하시고 이용하시기 바랍니다.
워낙 이놈이 유사한 변종이 많아서 ws2help.dll 시스템 파일을 패치하는 형태가 다를 수 있습니다.ㅠㅠ
dllcache 폴더는 숨김 속성 + 시스템 속성이므로 폴더 옵션에서 시스템 폴더(파일) 보호 기능을 해제하셔야 합니다.
결론적으로 내용상으로 봐서는 치료를 하셔도 윈도우 2개 문제로 일단 중요한 파일을 백업하시고 포맷을 하시는게 좋을 것으로 보입니다.
블루 스크린 문제는 시스템이 불안정한 경우에 발생할 수 있습니다. GMER 프로그램 자체가 루트킷 진단을 목적으로 하므로 상당히 파고드는 프로그램이거든요.
도와주세요~
감사합니다. 많은 도움 얻고갑니다. 이거 참 무섭네요 안걸리겠다고 해서 안걸리는것도 아니고 ;;
보안 패치만 최신으로 유지하시면 백신 진단 여부와 관계없이 감염되지 않습니다.
도와주세요~
아 그렇군요 좋은정보 감사합니다. 새해 복 많이 받으세요 ^^
도와주세요~
아참 하나만 더 질문하겠습니다. 저 바이러스가 온라인 게임 계정을 수집한다고 하셨는데 그러면 저처럼 파일명 변경까지 일어난 말기증상에서는 현재 사용중인 온라인게임 사이트의 모든 비밀번호를 변경해야 하는건가요?
일단 감염된 상태에서 온라인 게임 로그인을 하였다면 정보가 유출되었을 것으로 보입니다.
그러므로 되도록 치료 후에는 반드시 비밀번호를 변경하시는 것이 안전합니다.
감사합니다
많은 도움얻고갑니다 ^^ 혹여나 피해가 안간다면 다른분들에게도 알려드리고 싶은데.. 퍼가도 될까요?
되도록 링크를 이용해 주시기 바랍니다. 감사합니다.
안녕하세요 ㅜ
저기 근데 ㅜㅜ spoo1프로세스 삭제하라는 걸 spool프로세스를 지웠는데 ㅜ 어떻게하면 되나요?
일반적으로 시스템 파일을 삭제하면 자동으로 복구하는 기능이 있으므로 아마 재복구가 되었을 것으로 생각됩니다.
파일 삭제 후에 윈도우 탐색기를 종료하고 재실행해서 시스템 폴더 내의 삭제하였던 해당 spool.. 이 파일을 찾아보시기 바랍니다.
헐
좀만 쉽게.... 보기 편하게라도,,,
이게 한글인지....배운지 10년이 넘은 한글이 어색하네요 ㅋㅋㅋㅋ
이것보다 더 편하게 하시려면 전용 백신을 이용하라고 밖에는 못합니다.ㅠㅠ
아으
어떤 건지는 잘모르겠지만 분명 그 검사 과정에서 ws2help.dll랑 trojan같은게 나오긴해서 이거에 감염된거 같기는 한데
1. Windows 작업 관리자에서 spoo1sv.exe 프로세스를 종료합니다.
에서 작업 관리자 켜보면 spoo1은 나오는데 spoo1sv.exe은 안나옵니다.
이건 어떻게 해야하는 경우죠?...
해당 게시글은 작년을 기준으로 작성된 내용이므로 일부 파일 내용이 달라졌을 수 있습니다.