해당 취약점은 윈도우 취약점과 Adobe 취약점으로 감염되기 때문에 꼭 업데이트를 해야한다.
Microsoft 보안업데이트(2011년06월15일)
[Adobe]Security update available for Adobe Flash Player(CVE-2011-2110)
ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일이며,
최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
<감염 증상>
- 인터넷 이용시 웹 브라우저가 죽는 현상과 국내 보안 제품 (V3, 알약)의 동작을 방해하는 현상이 있다.
| <악성코드 유포 경로> http://208.98.**.227/2.html http://208.98.**.227/2.js |
| <정상파일 정보> 파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 파일위치 : c:\windows\system32 파일크기 : 19.5KB <감염파일 정보> 파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 파일위치 : c:\windows\system32 파일크기 : 32MB |
- 정상파일과 악성파일의 비교
정상파일 ws2help.dll 의 크기는 약 20KB 이며, 새롭게 생성 된 ws2help.dll 악성파일의 크기는 32MB 이다.
<생성파일>
- 감염 시스템에 생성 된 ws2help.dll 과 백업 된 ws3help.dll 변경
1) (정상) ws2help.dll -> ws3help.dll 로 백업시키며,
2) 사용자PC의 감염시간을 표기하는 dll 도 생성시킨다.
3) 정상파일의 이름인 ws2help.dll 파일로 생성시킨다.
4) df.ini 파일을 생성하여 계정 정보를 저장한다.
| 아무런 이유없이 인터넷 창이 꺼지거나 system32 폴더에 ws3help.dll이나 2011062312.dll(감염날짜) 가 있다면 의심하라!! |
감염된 시간을 표시하는 dll 도 생성시킨다.
| <계정유출 사이트 정보> 넷마블 피망 넥슨 |
- 가로 챈 사용자 정보는 아래의 사이트로 전송되며, df.ini 파일에 계정정보를 저장한다.
| http://www.dnf***.com/net/mail.asp? http://www.dnf***.com/pm/mail.asp? * url을 게임별로 구분해 놓은걸 보니 아주 섬세한 성격인가보다.. |
이해를 돕고자 어떻게 계정 유출 되는지 테스트를 해보았다.
로그인 하자마자 내 계정을 바로 빼가신다. 뭐.. 참 대~~단하시다.
- ws2help.dll 수동삭제 방법
해당 파일(ws2help.dll)은 WFP에 의해 보호받고 있는 파일이기 때문에
악성파일의 이름을 변경해주면 Windows에서 알아서 복구시킨다.
| - 삭제 방법은 다음과 같다.
1. ws2help.dll 의 이름 변경한다. |
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 변조된 사이트 접속시 악성코드 감염주의 (0) | 2011.08.04 |
|---|---|
| [악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드 (0) | 2011.06.29 |
| [악성코드분석] 키로거 형태 악성코드 TeUpdate.dll, Crypt2.dll (2) | 2011.06.27 |
| [악성코드분석] 광고성 악성코드 분석 (0) | 2011.06.21 |
| [악성코드분석] Winweng.exe 악성코드 분석 (0) | 2011.05.26 |