19일 카스퍼스키 제품에서 Trojan.Scrip.Iframer 이라는 진단명으로 다수의 컴퓨터에서 감염이 발생되어 확인한 결과 네이버 접속 시 특정 광고를 통하여 감염이 이루어지는 것을 확인하였습니다.

해당 광고가 노출되면 아래와 같은 악성스크립트가 실행이 되어집니다.






AdobeFlashPlayer 취약점을 통하여 감염이 되며 최종 AGS.gif 파일을 다운로드 하여 악성파일을 생성하게 됩니다. AGS.gif 파일은 이미지 파일로 위장하고 있습니다.






 URL 정보
 
hxxp://wap.hell***op.info/a18/my.html?cdkey
   └ hxxp://wap.hell***op.info/a18/new.html?劤壙젬꺄1119
          └ hxxp://wap.hell***op.info/a18/Birthday.swf
   └ hxxp://wap.hell***op.info/a18/fun.htm?莖폭渡괩1119
          └ hxxp://121.78.***.175/Ags/AGS.gif - 최종파일
hxxp://wap.hell***op.info/a18/e.avi


 생성파일 정보

C:\WINDOWS\system32\ws2help.dll - 악성파일
C:\WINDOWS\system32\ws2help.dll.(영문+숫자3자리랜덤).tmp
C:\WINDOWS\system32\ws2helpXP.dll - 원본파일



감염이 되면 원본파일인 ws2help.dll 파일을 다른 이름으로 변경하며 자신이 원본파일인 것처럼 위장하고 있습니다. 또한 iexplorer.exe 프로세스에 로드되어 온라인게임 사이트 및 문화상품권 사이트의 계정을 유출합니다.






iexplorer.exe 에 ws2helpXP.dll 도 같이 로드되어 있으며 아마도 원래의 ws2help.dll 역할을 ws2helpXP.dll 이 처리를 하고 있는 것으로 생각됩니다.




 계정유출 관련 사이트

1. 온라인게임
   - 한게임 : 테라
   - 피망 : 레이시티, 피파온라인
   - 넥슨 : 던파, 엘소드, 바람의나라, 메이플스토리
   - 엔씨소프트 : 리니지
   - 게임하이 : 데카론
   - 블리자드 : 와우
   - 넷마블

2. 그 외 사이트
   - 해피머니
   - 컬쳐랜드





위의 사이트에 로그인을 시도하면 특정 사이트로 계정이 유출되는 것을 확인 할 수 있습니다.





 제거 방법

악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다.

안철수연구소 전용백신
하우리 전용백신