이번 주말에 유포되는 온라인 게임 계정 정보를 수집하는 악성코드 유포 중 언론사, 커뮤니티, 블로그에서 많이 이용되는 광고 서버를 통해 유포되는 사례를 확인해 보도록 하겠습니다.

 

  kill.sys, ws2help.dll 파일을 이용한 계정 정보 수집 주의 (2011.11.13)

 

특히 이번 악성코드는 기존의 kill.sys + ws2help.dll 방식에서 변화가 있으며, 온라인 게임 중 배틀넷(Battle.net) 계정 정보를 수집하는 동작을 확인할 수 있었습니다.(※ 예전부터 WOW(World of WarCraft) 계정 정보 수집 행위는 존재하였으므로 새로운 것은 없습니다. 단지 디아블로 3(Diablo 3) 테스트도 있고 하니.. )  

유포 방식은 Windows, Adobe Flash Player, Oracle JRE 최신 보안 패치가 설치되어 있지 않은 사용자가 감염된 웹 사이트에 접속할 경우, 해당 사이트에 노출되어 있는 특정 광고 배너를 통해 자동으로 감염이 이루어지고 있습니다.

 

이를 통해 최종 다운로드 파일(MD5 : ecdec207d42d3576b5c02563d08c106b)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Gampass (VirusTotal : 19/42) 진단명으로 진단되고 있으며, 알약(ALYac) 사용자의 경우 Gen:Trojan.Generic.cmKfaCbfykbH 진단명으로 사전 차단되고 있습니다.

 

해당 악성코드는 크게 3가지 부분에서 주목할 부분이 있으며, 첫 번째로 "C:\WINDOWS\Fonts\0417.fon" 파일과 "C:\WINDOWS\system32\drivers\(4자리 영문).sys" 파일을 생성하여 AhnLab V3, 알약(ALYac) 백신 프로그램의 기능을 중지시킵니다. 

폰트(Font) 파일 확장자명을 가지는 0417.fon 파일은 CMD 모드에서 파일을 확인할 수 있으며, 시스템 시작시마다 자동 실행되며 보안 제품의 기능을 무력화하는데 이용되는 것으로 추정됩니다. 

실제 최초 감염 과정에서 0417.fon 파일의 동작을 확인해보면 "FAST I/O Disallowed" 기능을 수행하며, 해당 기능은 미니 필터 드라이버의 Fast I/O Operation 동작을 차단하여 백신 프로그램의 동작을 차단하는게 아닌가 생각됩니다.(※ 제 지식 수준을 넘는 영역이라서 모르겠습니다. )

 

또한 기존에는 시스템 드라이버 폴더에 kill.sys, (8자리 영문+숫자).sys 파일과 같이 랜덤(Random)한 형태로 파일을 생성하므로 해당 감염시에는 어떻게 수동으로 파일을 찾을 수 있는지 아래에서 살펴보도록 하겠습니다.

 

두 번째로 감염된 시스템의 치료를 방해할 목적으로 "C:\WINDOWS\system32\dllcache\ws2help.dll" 파일(Windows Socket 2.0 Helper for Windows NT)을 백업한 후 삭제 처리한다는 부분입니다.

 

마지막으로 시스템 시작시마다 ws2help.dll 파일은 특정 서버에 연결하여 감염된 일부 파일이 삭제된 경우 재감염을 시키는 동작을 확인할 수 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\Fonts\0417.fon
 - MD5 : c69843131bbe9bc58e54d8d3b7f75d59

 

C:\WINDOWS\system32\dllcache\ws2help.dll.EXv.tmp :: ws2help.dll 백업 파일 (정상 파일)

※ 해당 파일은 ws2help.dll.(3자리 영문+숫자).tmp 형태입니다.

 

C:\WINDOWS\system32\drivers\oxRu.sys
 - MD5 : 98117ee8a9756340575932bc48115a94
 - Avira AntiVir : TR/Rootkit.Gen (VirusTotal : 1/42)

※ 해당 파일은 (4자리 영문+숫자).sys 형태입니다.

 

C:\WINDOWS\system32\ws2help.dll :: 변경 전 파일 크기(19,968 Bytes) / 변경 후 파일 크기(102,400 Bytes)
 - MD5 : 19aea6f1bcd8651b20056518802deda7
 - nProtect : Trojan/W32.Forwarded.Gen (VirusTotal : 14/42)

 

C:\WINDOWS\system32\ws2help.dll.DRkE.tmp :: ws2help.dll 백업 파일 (정상 파일)

※ 해당 파일은 ws2help.dll.(4자리 영문+숫자).tmp 형태입니다.

 

C:\WINDOWS\system32\ws2help.dll.QwIC.tmp :: 악성 ws2help.dll 백업 파일
 - MD5 : 19aea6f1bcd8651b20056518802deda7
 - nProtect : Trojan/W32.Forwarded.Gen (VirusTotal : 14/42)

※ 해당 파일은 ws2help.dll.(4자리 영문+숫자).tmp 형태이며, 재감염 환경에서 생성됩니다.

 

C:\WINDOWS\system32\ws2helpxp.dll :: ws2help.dll 백업 파일 (정상 파일)

 

[삭제 파일 정보]

 

C:\WINDOWS\system32\dllcache\ws2help.dll

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
WINDOWS11111PRO
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows11111Pro

 

1. ws2help.dll 악성 시스템 파일 정보 

감염된 환경에서는 ws2help.dll 악성 시스템 파일 속성을 살펴보면 AhnLab Online Security 파일의 AOSLogRes DLL 파일로 위장하고 있고 있으며, 다음과 같은 악의적인 동작을 합니다.

 

(1) 다음의 온라인 게임 계정 정보를 수집하여 국내 특정 서버로 전송합니다.

  • df.nexon.com
  • hangame.com
  • netmarble.net
  • pmang.com
  • dk.halgame.com
  • aion.plaync.co.kr
  • eternalblade.gpotato.kr
  • rohan.co.kr
  • kr.battle.net

특히 배틀넷(Battle.net) 사이트에 접속하여 로그인을 시도할 경우 계정 정보가 국내(Korea)에 위치한 110.45.165.199(wlo.qwprkdfh.com) 서버로 전송되는 것을 확인할 수 있습니다.

 

(2) 다음의 국내외 보안 제품의 기능을 무력화합니다.

  1. 알약(ALYac) : AYAgent.aye, AYUpdSrv.aye, AYServiceNT.aye, AYRTSrv.aye, ALYac.aye
  2. 네이버 백신(Naver Vaccine) : nsvmon.npc, nvc.npc, nvcagent.npc, Nsavsvc.npc
  3. AhnLab : V3LTray.exe, V3LSvc.exe, V3Light.exe, SgSvc.exe, InjectWinSockServiceV3.exe, aosrts.exe, aosbackv.exe, procscan.exe, aostray.exe
  4. 기타 : SystemMon.exe, SkyMon.exe

(3) 시스템 재부팅 과정에서 특정 서버에서 감염된 파일 일부가 삭제된 경우 재감염을 시킵니다. 

다운로드되는 zj420.exe (MD5 : 9034a69b267c2fc3fd14d77cee6914ad) 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Gampass (VirusTotal : 18/42) 진단명으로 진단되며, 해당 파일은 앞서 감염을 시키는 파일과 동일한 기능을 합니다. 

실제 재감염 모습을 살펴보면 악성 파일(zj420.exe)을 다운로드하여 임시 폴더에 파일을 생성하며, 0417.fon 파일 생성 및 ws2help.dll 시스템 파일 백업을 통한 패치가 이루어집니다.

 

이 과정에서 기존에 패치된 악성 ws2help.dll 파일이 여전히 존재할 경우에도 해당 파일을 백업하여 재감염 시키고 있습니다.

 

2. "C:\WINDOWS\system32\drivers\(4자리 영문+숫자).sys" 파일 찾는 방법

 

(4자리 영문+숫자).sys 악성 드라이버 파일은 감염시마다 랜덤(Random)한 파일명으로 생성되며, 해당 악성코드의 경우에는 감염시 생성된 레지스트리 값을 참조하여 파일을 찾을 수 있습니다. 

레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows11111Pro" 값을 보면, 우측의 "ImagePath" 값에 "\??\C:\WINDOWS\system32\drivers\(4자리 영문+숫자).sys" 파일명이 표시되어 있는 것을 확인할 수 있습니다.(※ 해당 "Windows11111Pro" 레지스트리 값은 고정값입니다.)

 

해당 파일 정보를 기반으로 시스템 드라이버 폴더(C:\WINDOWS\system32\drivers)에서 해당 파일을 찾으시기 바랍니다.

 

악성코드에 감염된 사용자 중 (전용) 백신 프로그램을 통해 치료가 불가능한 경우에는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.(※ 반드시 모든 프로그램을 종료한 상태에서 진행하시는 것을 권장합니다.)

 

(1) CMD 모드에서 "C:\WINDOWS\Fonts\0417.fon" 파일을 삭제하시기 바랍니다. 

"시작 → 실행창 → cmd" 명령어를 입력하여 생성된 창에 ① cd C:\WINDOWS\fontsdel 0417.fon 명령어를 차례로 입력하여 "C:\WINDOWS\Fonts\0417.fon" 파일을 삭제하시기 바랍니다.

 

(2) "C:\WINDOWS\system32\drivers\(4자리 영문+숫자).sys" 파일을 찾아 삭제하시기 바랍니다.

 

"C:\WINDOWS\system32\drivers\(4자리 영문+숫자).sys" 파일은 앞서 말한 레지스트리 값(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows11111Pro)을 참조하시기 바랍니다.

 

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

WINDOWS11111PRO
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows11111Pro

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

WINDOWS11111PRO" 값 삭제시 "키 삭제 오류"창이 생성되는 문제는 다음의 방식으로 설정하여 삭제하시기 바랍니다. 

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

WINDOWS11111PRO" 키에 마우스 우클릭을 통해 생성된 메뉴 중 "사용 권한"을 선택하여 "Everyone의 사용 권한 → 모든 권한" 항목의 "허용" 버튼에 체크 및 적용을 한 후 삭제를 하시면 정상적으로 삭제가 이루어집니다.

 

(4) 폴더 옵션의 설정을 변경한 후, "C:\WINDOWS\system32\dllcache\ws2help.dll.(3자리 영문+숫자).tmp" 파일을 ws2help.dll 파일로 이름을 변경하시기 바랍니다. 

우선 폴더 옵션에서 "보호된 운영 체제 파일 숨기기" 항목을 체크 해제하고, "숨김 파일 및 폴더 표시"에 체크를 하시기 바랍니다. 

폴더 옵션 변경을 한 후에는 윈도우 탐색기를 통해 "C:\WINDOWS\system32\dllcache\ws2help.dll.(3자리 영문+숫자).tmp" 파일을 찾아 파일명을 ws2help.dll 파일로 수정을 하시기 바랍니다.

 

(5) "C:\WINDOWS\system32\ws2help.dll" 악성 시스템 파일을 "ws2help.dll-malware" 로 변경하시기 바랍니다. 

ws2help.dll 악성 시스템 파일을 ws2help.dll-malware로 변경한 후 모습

ws2help.dll 악성 시스템 파일의 확장자명을 변경하며, 앞서 수정한 "C:\WINDOWS\system32\dllcache\ws2help.dll" 파일을 통해 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 ws2help.dll 파일이 복원됩니다.

 

그러므로 윈도우 탐색기를 종료한 후 재실행하여 "C:\WINDOWS\system32\ws2help.dll" 파일이 복원되었는지 반드시 확인을 하시고 시스템 재부팅을 진행하시기 바라며, 해당 파일이 복원되지 않을 경우 재부팅을 시도하면 블루 스크린(BSoD) 생성으로 윈도우에 진입하지 못하게 되므로 매우 주의하시기 바랍니다.

 

(6) 시스템 재부팅 후 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\ws2help.dll.(4자리 영문+숫자).tmp :: 해당 파일은 다수가 존재할 수 있습니다.
  • C:\WINDOWS\system32\ws2help.dll-malware
  • C:\WINDOWS\system32\ws2helpxp.dll

모든 절차가 완료된 후에는 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 하시기 바라며, 더 중요한 점은 이런 악성코드에 반복적으로 감염되는 일이 없도록 Windows, Adobe Flash Player, Oracle JRE 최신 버전을 설치하고 인터넷을 이용하시기 바랍니다.

 

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..