특정 사이트에 접속 시 배너 광고를 통한 감염이 이루어지고 있으며, 감염 시 온라인 게임 계정 및 문화상품권 사이트 계정이 유출됩니다. 카스퍼스키 보안 제품에서는 Trojan.Scrip.Iframer 으로 진단하고 있습니다.
 


[악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19)




위와 같이 배너 광고에 악성스크립트가 삽입되어 있는 것을 확인 할 수 있으며, 해당 스크립트를 디코딩하면 공격자 사이트의 yg.html 에 접속하여 악성파일을 설치하도록 되어 있습니다. 감염 형태는 Adobe Flash Player 취약점을 이용하고 있으며 알약, V3 등 국내 보안 제품을 무력화하여 악성파일을 설치합니다.
 



위의 URL을 직접 호출 할 경우 보안 제품이 있어도 감염이 되는군요..ㅡㅡㅋ



 URL 정보

hxxp://66.xxx.xx.218/yg/yg.html
  └ hxxp://119.xxx.xxx.24/yg/t.html
         └ hxxp://119.xxx.xxx.24/yg/done.swf
  └ hxxp://119.xxx.xxx.24/yg/g.html
  └ hxxp://119.xxx.xxx.24/yg/j.html
  └ hxxp://119.xxx.xxx.24/yg/e.html
         └ hxxp://119.xxx.xxx.24/yg/body.swf
최종파일 : _.exe


 생성파일 정보

C:\WINDOWS\system32\ws2help.dll - 악성파일
C:\WINDOWS\system32\ws2help.dll.(영문+숫자1자리랜덤).tmp - 원본파일
C:\WINDOWS\system32\ws2helpxp.dll - 원본파일




윈도우 시스템 파일인 ws2help.dll 원본을 ws2helpxp.dll 로 백업을 하고 있으며, 최초 감염 시 ws2help.dll.4e.tmp 파일이 임시로 원본파일을 대신하고 있습니다.




또한, 해당 프로세스가 종료된 후 재 실행 되면 ws2helpxp.dll 파일이 원본 파일을 대신하고 있으며, 악성파일인 ws2help.dll 은 iexplorer.exe 프로세스에 삽입되어 계정유출 행위를 하고 있습니다.










 계정유출 관련 사이트

1. 온라인게임
- 한게임
- 피망
- 넥슨
- 엔씨소프트
- 엔도어즈
- 와이디온라인 : 엔돌핀
- 블리자드
- 넷마블

2. 그 외 사이트
- 해피머니








제거 방법

악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다. 검사 후 재부팅을 해야 정상적으로 제거가 되며 C:\Windows\system32 폴더 안의 ws2helpxp.dll , ws2help.dll.(영문+숫자1자리랜덤).tmp 파일을 삭제 하시면 됩니다.

안철수연구소 전용백신
하우리 전용백신








19일 카스퍼스키 제품에서 Trojan.Scrip.Iframer 이라는 진단명으로 다수의 컴퓨터에서 감염이 발생되어 확인한 결과 네이버 접속 시 특정 광고를 통하여 감염이 이루어지는 것을 확인하였습니다.

해당 광고가 노출되면 아래와 같은 악성스크립트가 실행이 되어집니다.






AdobeFlashPlayer 취약점을 통하여 감염이 되며 최종 AGS.gif 파일을 다운로드 하여 악성파일을 생성하게 됩니다. AGS.gif 파일은 이미지 파일로 위장하고 있습니다.






 URL 정보
 
hxxp://wap.hell***op.info/a18/my.html?cdkey
   └ hxxp://wap.hell***op.info/a18/new.html?劤壙젬꺄1119
          └ hxxp://wap.hell***op.info/a18/Birthday.swf
   └ hxxp://wap.hell***op.info/a18/fun.htm?莖폭渡괩1119
          └ hxxp://121.78.***.175/Ags/AGS.gif - 최종파일
hxxp://wap.hell***op.info/a18/e.avi


 생성파일 정보

C:\WINDOWS\system32\ws2help.dll - 악성파일
C:\WINDOWS\system32\ws2help.dll.(영문+숫자3자리랜덤).tmp
C:\WINDOWS\system32\ws2helpXP.dll - 원본파일



감염이 되면 원본파일인 ws2help.dll 파일을 다른 이름으로 변경하며 자신이 원본파일인 것처럼 위장하고 있습니다. 또한 iexplorer.exe 프로세스에 로드되어 온라인게임 사이트 및 문화상품권 사이트의 계정을 유출합니다.






iexplorer.exe 에 ws2helpXP.dll 도 같이 로드되어 있으며 아마도 원래의 ws2help.dll 역할을 ws2helpXP.dll 이 처리를 하고 있는 것으로 생각됩니다.




 계정유출 관련 사이트

1. 온라인게임
   - 한게임 : 테라
   - 피망 : 레이시티, 피파온라인
   - 넥슨 : 던파, 엘소드, 바람의나라, 메이플스토리
   - 엔씨소프트 : 리니지
   - 게임하이 : 데카론
   - 블리자드 : 와우
   - 넷마블

2. 그 외 사이트
   - 해피머니
   - 컬쳐랜드





위의 사이트에 로그인을 시도하면 특정 사이트로 계정이 유출되는 것을 확인 할 수 있습니다.





 제거 방법

악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다.

안철수연구소 전용백신
하우리 전용백신