울지않는벌새 : Security, Movie & Society

spoo1sv.exe, ws2help.dll 파일을 이용한 온라인 게임 계정 수집 주의 (2011.11.11)

벌새::Analysis
중국발 온라인 게임 계정 정보를 수집하여 금전적 피해를 유발하는 악성코드에 감염되는 사용자는 Windows 보안 패치 미설치와 Adobe Flash Player 최신 버전을 사용하지 않는 사용자들입니다.

이들 사용자는 웹하드, 언론, 커뮤니티 사이트 등에 접속할 경우 자동으로 감염으로 연결이 될 수 있으며, 감염 당시 사용자 PC에 설치된 보안 제품에서 진단하지 못할 경우에는 다음과 같은 증상도 목격할 수 있습니다.

즉, 평소 사용하던 안철수연구소(AhnLab) V3 Lite 무료 백신을 실행할 경우 "바로가기 오류" 창이 생성되며 백신 프로그램이 동작하지 않을 뿐만 아니라 실제 관련 파일들이 모두 삭제되어 있는 것을 확인할 수 있습니다.

최근 모 언론 사이트를 통해 유포되는 악성코드를 통해 어떻게 이런 동작이 가능한지 여부와 피해 및 수동 해결 방법에 대해 살펴보도록 하겠습니다.

참고로 해당 내용은 처리님이 작성하신 내용과 동일하므로 기술적 코드 부분에 대해서는 처리님 블로그 내용을 참고하시기 바랍니다.


파일명 보안 제품 진단명
tp.js Hauri ViRobot JS.S.Agent.13794.A
hhh.html Microsoft Exploit:JS/ShellCode.gen
KRPlayerse.swf nProtect Trojan- Exploit/W32.SWFlash.12234.OQ
e.avi Hauri ViRobot AVI.S.CVE-2011-2140.8471
fff.html Hauri ViRobot JS.S.Shellcode.35768
xxx.html Hauri ViRobot HTML.S.Agent.9191

해당 악성코드는 기존과 마찬가지로 Adobe Flash Player 취약점을 중심으로 감염을 유발하고 있으며, 최종적으로 암호화된 1027.jpg 파일을 다운로드하여 XOR을 통해 생성된 최종 파일(MD5 : 7e387136dc94130cacb6fa521cdbd49c)에 의해 감염이 이루어집니다.

해당 최종 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Patcher (VirusTotal : 19/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\spoo1sv.exe :: 최종 감염 파일(Dropper)
 - MD5 : 7e387136dc94130cacb6fa521cdbd49c
 - AhnLab V3 : Trojan/Win32.Patcher (VirusTotal : 19/43)

C:\WINDOWS\version.dat :: 버전 체크 파일
C:\WINDOWS\winurl.dat :: 감염 상태 체크 파일

C:\WINDOWS\system32\dllcache\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
 - MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
 - BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)

C:\WINDOWS\system32\wimedump.dll :: ws2help.dll 백업 파일 - 정상 파일

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기 - 19,968 Bytes / 변경 후 파일 크기 - 25,600 Bytes
 - MD5 : 9c02d333a2fa73d11a3e90ec4d7a87c8
 - BitDefender : Generic.Lineage.734D2580 (VirusTotal : 9/43)

C:\WINDOWS\Tasks\SA01.dat :: 악성 ws2help.dll 백업 파일
 - MD5 : c5db5d4ab9ae84e61ee5556016c7f270

C:\WINDOWS\Tasks\SA02.dat :: 악성 spoo1sv.exe 백업 파일
 - MD5 : 03074e35232f4af34fbc8713afbd4709

해당 악성코드에 감염된 PC 환경에서는 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일과 [C:\WINDOWS\system32\dllcache\ws2help.dll] 파일을 악성 파일로 패치하여 치료를 어렵게 하고 있습니다.

참고로 정상적인 ws2help.dll 시스템 파일은 [C:\WINDOWS\system32\wimedump.dll] 파일로 백업을 하고 있습니다.

또한 메모리에 spoo1sv.exe 파일을 상주시켜 주기적으로 AhnLab V3 Lite, AhnLab V3 365 Clinic, 네이버 백신(Naver Vaccine), 알약(ALYac) 보안 제품의 설치, 실행 방해, 삭제를 하는 동작을 확인할 수 있습니다.

SA01.dat

또한 SA01.dat(악성 ws2help.dll 파일), SA02.dat(악성 spoo1sv.exe 파일) 파일을 생성하여 ws2help.dll, spoo1sv.exe 파일을 백업해 두고 삭제되었을 경우 자동으로 복구하는 기능을 가지고 있습니다.

특히 이들 2개의 PE 구조의 .dat 파일의 헤더를 백신 프로그램의 진단을 우회할 목적으로 0x30 0x30으로 수정되어 있는 특징이 있습니다.

자가 복원 기능을 잠시 살펴보면 예를 들어 사용자가 메모리에 상주하는 spoo1sv.exe 프로세스를 수동으로 종료하고 해당 파일을 삭제 또는 확장자명을 변경한 상태에서, 다른 응용 소프트웨어가 동작할 경우 자동으로 파일 및 프로세스 복구가 이루어지는 것을 확인할 수 있습니다.

감염된 환경에서 사용자가 Internet Explorer 웹 브라우저를 통해 한게임(Hangame), 피망(PMang), 넥슨(Nexon) 등 온라인 게임 사이트에 접속하여 로그인을 시도할 경우 iexplore.exe 프로세스에 패치된 ws2help.dll 악성 파일을 통해 입력한 계정 정보가 외부로 유출되는 것을 확인할 수 있습니다.

참고로 테스트에서는 홍콩(HongKong)에 위치한 203.124.15.228 IP 서버로 계정 정보가 전송되는 것을 확인할 수 있었습니다.

해당 악성코드에 감염된 경우 보안 제품을 통한 치료가 어려울 경우 다음과 같은 절차에 따라 수동으로 문제를 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

일부 파일 중에서는 Windows 기본값으로 파일이 보이지 않는 경우가 있으므로 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목 체크 해제, [숨김 파일 및 폴더 표시] 항목 선택을 하시기 바랍니다.

1. Windows 작업 관리자에서 spoo1sv.exe 프로세스를 종료합니다.

여기에서 주의할 점은 정상적인 시스템에 존재하는 [C:\Windows\System32\spoolsv.exe] 프로세스와 이름이 유사하므로 혼동하지 않도록 주의하시기 바랍니다.(※ spoo1sv.exe 프로세스 종료 후 불필요하게 다른 프로그램을 실행하지 않도록 하시기 바랍니다.)

2. GMER 도구를 이용하여 다음의 파일을 삭제하시기 바랍니다.
  • C:\WINDOWS\Tasks\SA01.dat
  • C:\WINDOWS\Tasks\SA02.dat

3. Windows 탐색기를 이용하여 [C:\WINDOWS\spoo1sv.exe] 파일을 삭제하시기 바랍니다.

4. [C:\WINDOWS\system32\wimedump.dll] 파일을 [C:\WINDOWS\system32\dllcache] 폴더에 복사합니다.

5. [C:\WINDOWS\system32\dllcache\ws2help.dll] 파일을 삭제합니다.

6. (4)번에서 복사한 [C:\WINDOWS\system32\dllcache\wimedump.dll] 파일을 ws2help.dll 파일로 이름을 변경합니다.

7. [C:\WINDOWS\system32\ws2help.dll] 파일의 확장자를 변경합니다.(※ 예시 : ws2help.dll-)

ws2help.dll 파일의 확장자를 변경한 경우에는 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 ws2help.dll 파일이 생성되므로 반드시 생성 여부를 체크하시기 바랍니다.

8. 반드시 시스템 재부팅을 한 후, 다음의 파일을 찾아 삭제를 하시기 바랍니다.
  • C:\WINDOWS\version.dat
  • C:\WINDOWS\winurl.dat
  • C:\WINDOWS\system32\wimedump.dll

모든 수동 문제 해결 절차에 따라 파일을 제거하신 사용자는 반드시 국내 유명 보안 제품을 이용하여 정밀 검사를 진행하시기 바라며, 해당 악성코드에 감염된 원인이 Windows 보안 패치 미설치와 Adobe Flash Player 최신 버전을 사용하지 않았기 때문이므로 반복적인 감염을 예방하기 위해서는 최신 보안 패치를 모두 설치하시기 바랍니다.