뚜기의 S 톨이

해당 취약점은 윈도우 취약점과 Adobe 취약점으로 감염되기 때문에 꼭 업데이트를 해야한다.

Microsoft 보안업데이트(2011년06월15일)

[Adobe]Security update available for Adobe Flash Player(CVE-2011-2110)

ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일이며,
최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.

<감염 증상>
  - 인터넷 이용시 웹 브라우저가 죽는 현상과 국내 보안 제품 (V3, 알약)의 동작을 방해하는 현상이 있다. 

- 정상파일과 악성파일의 비교

정상파일 ws2help.dll 의 크기는 약 20KB 이며, 새롭게 생성 된 ws2help.dll 악성파일의 크기는 32MB 이다.

아무런 이유없이 인터넷 창이 꺼지거나   system32 폴더에 ws3help.dll이나 2011062312.dll(감염날짜) 가 있다면 의심하라!!

감염된 시간을 표시하는 dll 도 생성시킨다.

<계정유출 사이트 정보>   넷마블   피망   넥슨

- 가로 챈 사용자 정보는 아래의 사이트로 전송되며, df.ini 파일에 계정정보를 저장한다.

http://www.dnf***.com/net/mail.asp?   http://www.dnf***.com/pm/mail.asp?  * url을 게임별로 구분해 놓은걸 보니 아주 섬세한 성격인가보다..

이해를 돕고자 어떻게 계정 유출 되는지 테스트를 해보았다.

로그인 하자마자 내 계정을 바로 빼가신다. 뭐.. 참 대~~단하시다.





- ws2help.dll 수동삭제 방법
해당 파일(ws2help.dll)은 WFP에 의해 보호받고 있는 파일이기 때문에
악성파일의 이름을 변경해주면 Windows에서 알아서 복구시킨다.

- 삭제 방법은 다음과 같다.   1. ws2help.dll 의 이름 변경한다.   2. 윈도우가 복구 해줄때 까지 wait~!   3. ws2help.dll 파일이 복구 되었는지 확인한다. (정상파일 크기는 20KB이다.)   4. 재부팅 후 변경 한 ws2help.dll 파일을 삭제한다.   5. 윈도우 및 Adove Flash Player 를 최신버전으로 업데이트 한다.

comment :
내용을 보시면 winweng.exe 를 삭제하도록 되어 있고
삭제를 했는데도 파일이 존재하면 다시 삭제하는 동작을 합니다.
여기서 이상한 점은 del 명령어에서 숨김파일 삭제 옵션이 없기 때문에 삭제가 되지 않습니다.
한마디로 무한반복 시키겠다는 얘기죠..

winweng.exe는 실행 시 cmd.exe를 통해 del~*.bat 파일을 실행시키며
배치파일의 내용을 무한반복시켜 cpu의 부하를 준다.




winpingying.ime 는 모든 프로세스에 Injection 되어 있으며, 특정 사이트에 접속할 경우
개인정보가 유출되도록 하는 동작을 한다.



해당 파일 분석 결과 특정사이트는 다음과 같다.

1. 메이플스토리
2. 던전앤파이트
3. 피망
4. 한게임
5. 테라
6. 아이온
7. 리니지1
8. 네이트온
9. 페이스북

[악성코드 분석]
winweng.exe 파일을 분석하기 위해 툴을 이용하여 파일구조를 확인 해 보았다.



악성코드는 UPX로 패킹이 되어 있으며 툴을 이용하여 언패킹을 할 수 있다.
언패킹한 결과, 해당 파일은 Visual C++ 6.0 컴파일러를 이용하여 컴파일 된 것을 확인할 수 있다.

이제 언패킹을 했으니 내용을 한 번 살펴 보도록 하자.
악성파일이 실행이 되면 특정 백신을 무력화 하는 AV Killer 기능이 있는 것을 확인할 수 있다.
또한 업데이트를 차단하여 악성코드를 탐지하지 못하도록 하고 있다.(지금은 백신에서 탐지 됨)



대표적으로 알약, 안랩, kaspersky, 바이러스 체이서 등이 눈에 띈다.
또한, 해당 악성파일이 삭제가 될 경우 재설치하는 기능도 있다.

[예방 조치 방법]

끝.