울지않는벌새 : Security, Movie & Society

kill.sys, ws2help.dll 파일을 이용한 계정 정보 수집 주의 (2011.11.13)

벌새::Analysis
최근 중국발 악성코드 유포 과정에서 알약(ALYac) 2.1.0.3 최신 버전이 설치된 환경에서 감염이 발생할 경우, kill.sys 악성 드라이버 파일을 이용하여 국내 보안 제품을 무력화한 후 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 시스템 파일을 패치하는 악성코드 유포 행위가 확인되었습니다.

사용자 입장에서는 악성코드를 유포하는 사이트에 접속할 경우 알약(ALYac), AhnLab V3 보안 제품의 트레이 아이콘과 Internet Explorer 웹 브라우저가 죽는 현상으로 감염 여부를 경험할 수 있습니다.

이에 국내 모 언론 사이트를 통해 유포가 이루어지고 있는 사례를 통해 대략적인 흐름도를 살펴보겠으며, kill.sys와 관련된 기술적인 부분은 처리님의 블로그 내용을 참고하시기 바랍니다.


파일명 보안 제품 진단명
j.html Hauri ViRobot HTML.S.Agent.1109
u.html avast! JS:Downloader-AYW [Trj]
ad.swf BitDefender Script.SWF.C22
c.html Avira AntiVir HTML/Shellcode.Gen
c.swf nProtect Trojan-Exploit/W32.SWFlash.1695.QX
connect.swf Hauri ViRobot SWF.S.Exploit.642
i.html nProtect Script-JS/W32.Agent.DHM

해당 악성코드 유포에는 Adobe Flash Player 취약점을 비롯한 다양한 악성 스크립트를 통해 최종적으로 k.css(MD5 : 4c20a9f0561709d72a53988903379c12) 파일을 다운로드 및 실행하도록 구성되어 있습니다.

참고로 최종 파일에 대하여 알약(ALYac) 보안 제품에서는 Trojan.Dropper.OnlineGames.wsxp (VirusTotal : 20/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

이후 감염되는 과정에서 kill.sys, ws2help.dll 파일 감염과 관련된 흐름은 다음과 같습니다.

① 인터넷 임시 폴더에 k.css 파일을 다운로드하여 ② [C:\N.EXE] 파일로 자가 복제를 합니다.

③ N.EXE 파일은 사용자 PC에 보안 프로세스를 체크하여 알약(ALYac), AhnLab V3와 같은 제품이 실시간 감시를 하고 있는 경우, [C:\WINDOWS\system32\drivers\kill.sys] 드라이버 파일을 생성하여 보안 제품 무력화를 진행합니다.(※ 만약 사용자 PC에 표적이 되는 보안 프로세스가 존재하지 않을 경우에는 kill.sys 드라이버 파일을 생성하지 않고 ws2help.dll 시스템 파일 패치로 이어집니다.)

④ 이후 N.EXE 파일은 ws2help.dll 시스템 파일을 [C:\WINDOWS\system32\ws2helpXP.dll] 파일로 백업을 한 후, ⑤ ws2help.dll 파일을 [C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp] 파일로 이름을 변경합니다.

⑥ 그 후 [C:\WINDOWS\imm32.bmp] 파일을 생성한 후, ⑦해당 파일을 [C:\WINDOWS\system32\ws2help.dll] 파일로 변경하고 자신은 삭제가 됩니다.

⑧ 모든 감염 동작이 완료된 상태에서 [C:\N.EXE] 파일은 자가 삭제를 합니다.

[생성 파일 및 진단 정보]

C:\WINDOWS\system32\drivers\kill.sys
 - MD5 : 0bfe8d13280598f2244b6b496eb102c0
 - avast! : Win32:Ressdt-BD [Rtk] (VirusTotal : 5/42)
※ kill.sys 파일은 알약(ALYac), AhnLab V3 등 일부 보안 제품이 설치되어 있는 환경에서만 생성되는 것으로 보입니다.

C:\WINDOWS\system32\ws2help.dll
 - MD5 : 20b151246056c93d6b9d97e9b10f550f
 - Hauri ViRobot : Trojan.Win32.PatchedDll.C (VirusTotal : 8/42)

C:\WINDOWS\system32\ws2help.dll.Lb8.tmp :: ws2help.dll 백업 파일 (정상 파일)
※ 해당 파일은 C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.

C:\WINDOWS\system32\ws2helpXP.dll :: ws2help.dll 백업 파일 (정상 파일)

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony
 - 알약(ALYac) : Trojan.Rootkit.winint

해당 악성코드에 감염된 경우 정상 ws2help.dll 시스템 파일은 ws2helpXP.dll 파일로 백업되어 동작되며, 악성 ws2help.dll 파일은 특정 문화 상품권 및 온라인 게임 사이트에서 로그인 동작이 있을 경우 외부로 정보를 유출하도록 제작되어 있습니다.(※ 악성 ws2help.dll 파일은 AhnLab V3 제품군, 사이트가드, 알약(ALYac), 네이버 백신(Naver Vaccine) 등 보안 제품 무력화 기능을 포함하고 있습니다.)

이미 이전에도 온라인 문화 상품권 사이트를 표적으로 하는 유포 행위가 확인이 되었으므로 참고하시기 바랍니다.

이번에 표적이 된 문화 상품권 사이트는 해피머니(HappyMoney), 컬쳐랜드(CultureLand)이며, 기존과 마찬가지로 한게임(Hangame), 넷마블(NetMarble), 피망(PMang), 넥슨(Nexon) 등 온라인 게임 계정 정보를 수집하는 동작을 하고 있습니다.

예를 들어 사용자가 해피머니 문화 상품권 사이트에 접속을 시도할 경우, Internet Explorer 웹 브라우저의 iexplore.exe 프로세스에 ws2help.dll 악성 파일을 삽입하여 모니터링을 시작합니다.(※ ws2helpXP.dll 파일은 원래의 ws2help.dll 시스템 파일 역할을 합니다.)

사용자가 사이트에서 로그인 동작을 할 경우 미국(USA)에 위치한 98.126.48.122 IP 서버로 아이디(ID), 비밀번호 등의 정보가 유출되는 것을 확인할 수 있습니다.

해당 악성코드 감염으로 인하여 수동으로 문제 해결을 원하시는 분들은 다음과 같은 절차를 따라 진행하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태로 절차를 따르시기 바랍니다.)

1. Windows 탐색기를 이용하여 [C:\WINDOWS\system32\drivers\kill.sys] 파일을 삭제합니다.

참고로 AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine) 등 국내 보안 제품을 사용하지 않는 사용자의 경우에는 해당 파일과 (2)번 레지스트리 값이 존재하지 않을 가능성이 높습니다.

2. 레지스트리 편집기(regedit)를 실행하여 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\agony] 값을 삭제합니다.

3. [C:\WINDOWS\system32\ws2help.dll] 파일의 확장자명을 변경합니다.(※ 예시 : ws2help.dll-)

파일 확장자명을 변경한 경우 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상 ws2help.dll 시스템 파일이 복구되므로 반드시 확인하시기 바랍니다.

만약 ws2help.dll 시스템 파일이 복구되지 않은 상태로 시스템 재부팅을 시도할 경우 블루스크린(BSoD) 생성을 통한 부팅 불가능 현상이 발생하므로 매우 주의하시기 바랍니다.

4. 반드시 시스템 재부팅을 진행한 후, 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\ws2help.dll- :: 악성 ws2help.dll 파일의 확장자명을 변경한 파일
  • C:\WINDOWS\system32\ws2help.dll.(3자리 영문+숫자).tmp
  • C:\WINDOWS\system32\ws2helpXP.dll

모든 절차가 완료된 사용자는 유명 보안 제품을 이용하여 반드시 정밀 검사를 추가적으로 진행하시기 바라며, 해당 악성코드에 감염된 사용자는 Windows 보안 패치 및 Adobe Flash Player 최신 버전 업데이트를 추가적으로 체크하시기 바랍니다.

만약 보안 패치가 제대로 설치되지 않은 경우에는 언제든지 위와 같은 악성 파일에 자동으로 감염될 수 있으므로 올바른 보안 습관을 가지시고 인터넷을 이용하시기 바랍니다.