특정 사이트에 접속 시 배너 광고를 통한 감염이 이루어지고 있으며, 감염 시 온라인 게임 계정 및 문화상품권 사이트 계정이 유출됩니다. 카스퍼스키 보안 제품에서는 Trojan.Scrip.Iframer 으로 진단하고 있습니다.
 


[악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19)




위와 같이 배너 광고에 악성스크립트가 삽입되어 있는 것을 확인 할 수 있으며, 해당 스크립트를 디코딩하면 공격자 사이트의 yg.html 에 접속하여 악성파일을 설치하도록 되어 있습니다. 감염 형태는 Adobe Flash Player 취약점을 이용하고 있으며 알약, V3 등 국내 보안 제품을 무력화하여 악성파일을 설치합니다.
 



위의 URL을 직접 호출 할 경우 보안 제품이 있어도 감염이 되는군요..ㅡㅡㅋ



 URL 정보

hxxp://66.xxx.xx.218/yg/yg.html
  └ hxxp://119.xxx.xxx.24/yg/t.html
         └ hxxp://119.xxx.xxx.24/yg/done.swf
  └ hxxp://119.xxx.xxx.24/yg/g.html
  └ hxxp://119.xxx.xxx.24/yg/j.html
  └ hxxp://119.xxx.xxx.24/yg/e.html
         └ hxxp://119.xxx.xxx.24/yg/body.swf
최종파일 : _.exe


 생성파일 정보

C:\WINDOWS\system32\ws2help.dll - 악성파일
C:\WINDOWS\system32\ws2help.dll.(영문+숫자1자리랜덤).tmp - 원본파일
C:\WINDOWS\system32\ws2helpxp.dll - 원본파일




윈도우 시스템 파일인 ws2help.dll 원본을 ws2helpxp.dll 로 백업을 하고 있으며, 최초 감염 시 ws2help.dll.4e.tmp 파일이 임시로 원본파일을 대신하고 있습니다.




또한, 해당 프로세스가 종료된 후 재 실행 되면 ws2helpxp.dll 파일이 원본 파일을 대신하고 있으며, 악성파일인 ws2help.dll 은 iexplorer.exe 프로세스에 삽입되어 계정유출 행위를 하고 있습니다.










 계정유출 관련 사이트

1. 온라인게임
- 한게임
- 피망
- 넥슨
- 엔씨소프트
- 엔도어즈
- 와이디온라인 : 엔돌핀
- 블리자드
- 넷마블

2. 그 외 사이트
- 해피머니








제거 방법

악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다. 검사 후 재부팅을 해야 정상적으로 제거가 되며 C:\Windows\system32 폴더 안의 ws2helpxp.dll , ws2help.dll.(영문+숫자1자리랜덤).tmp 파일을 삭제 하시면 됩니다.

안철수연구소 전용백신
하우리 전용백신