악성코드 감염 사이트 접속 시 시스템 파일 변조를 통하여 온라인 게임 계정 탈취를 목적으로한
악성코드에 대하여 알아보겠습니다.
해당 파일은 카스퍼스키 제품에서는 진단명 Trojan.Win32.Generic 으로 진단하고 있습니다.
ws2help.dll 파일은 온라인 게임 계정 탈취를 목적으로 한 악성코드에 주로 이용되는 단골 고객이며,
신규 공격 기법이 아니라 히스토리 목적으로만 포스팅 합니다.
|
악성파일 정보 |
|
생성파일 정보 |
C:\Documents and Settings\Administrator\Local Settings\Temp\VnrYne173.exe C:\WINDOWS\System32\ws2help.dll (악성파일) |
최초 악성파일인 rund11.exe 파일이 실행되면 VnrYne173.exe 라는 파일을 생성하며, 자가 삭제 됩니다.
VnrYne173.exe 파일은 시스템 파일인 ws2help.dll 원본 파일을 ws2help.(영문+숫자 임의명 3자리).tmp와
ws2helpXP.dll 로 백업한 후 ws2help.dll 악성파일을 생성합니다.
ws2help.dll 파일을 호출하는 모든 프로세스에 인젝션 되어 동작하며, 시스템에 설치된 백신을 무력화 하여
온라인 게임 계정을 탈취하는 기능을 수행합니다.
ws2help.dll 이 탈취하는 온라임 게임 리스트는 다음과 같습니다.
- 던파,메이플스토리 - 피파온라인, 레이시티 - 리니지 - 카발2 - 와우 - 바람의나라 |
그리고 악성코드에 대해 시스템에 설치된 백신을 무력화 시킵니다.
- 바이러스체이서 |
|
예방 방법 |
1. ws2help.dll 파일 이름을 변경 (ex. old_ws2help.dll)
2. WFP로 인하여 정상적인 파일 복구되는지 확인 (복구 안될 시 ws2helpXP.dll을 ws2help.dll 로 변경
3. 재부팅 후 악성파일 삭제
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 검색도우미 :: Microprocproc (1) | 2013.08.26 |
|---|---|
| 구글업데이트 위장한 악성코드(Zero-Day) :: Google_Mapu.exe (0) | 2013.04.09 |
| [악성코드분석] 검색도우미 :: CloverPlus (0) | 2012.12.21 |
| [악성코드분석] 윈도우 시스템 파일을 위장한 악성코드 분석 (0) | 2012.04.13 |
| [악성코드분석] 드디어 Dehydrating a String 코드 샘플을 구하다. (0) | 2012.02.28 |