악성코드 감염 사이트 접속 시 시스템 파일 변조를 통하여 온라인 게임 계정 탈취를 목적으로한

악성코드에 대하여 알아보겠습니다.

해당 파일은 카스퍼스키 제품에서는 진단명 Trojan.Win32.Generic 으로 진단하고 있습니다.


ws2help.dll 파일은 온라인 게임 계정 탈취를 목적으로 한 악성코드에 주로 이용되는 단골 고객이며,

신규 공격 기법이 아니라 히스토리 목적으로만 포스팅 합니다.





 

 악성파일 정보






 

 생성파일 정보


C:\Documents and Settings\Administrator\Local Settings\Temp\VnrYne173.exe

C:\WINDOWS\System32\ws2help.dll (악성파일)
C:\WINDOWS\System32\ws2help.dll.(영문+숫자 임의명 3자리).tmp (원본 백업 파일)
C:\WINDOWS\System32\ws2helpXP.dll (원본 백업 파일)




최초 악성파일인 rund11.exe 파일이 실행되면 VnrYne173.exe 라는 파일을 생성하며, 자가 삭제 됩니다.







VnrYne173.exe 파일은 시스템 파일인 ws2help.dll 원본 파일을 ws2help.(영문+숫자 임의명 3자리).tmp와

ws2helpXP.dll 로 백업한 후 ws2help.dll 악성파일을 생성합니다.







ws2help.dll 파일을 호출하는 모든 프로세스에 인젝션 되어 동작하며, 시스템에 설치된 백신을 무력화 하여

온라인 게임 계정을 탈취하는 기능을 수행합니다.






ws2help.dll 이 탈취하는 온라임 게임 리스트는 다음과 같습니다.


 - 던파,메이플스토리
 - 피파온라인, 레이시티
 - 리니지
 - 카발2
 - 와우
 - 바람의나라



그리고 악성코드에 대해 시스템에 설치된 백신을 무력화 시킵니다.


 - 바이러스체이서
 - 네이버pc그린
 - v3
 - 알약






 

 예방 방법


1. ws2help.dll 파일 이름을 변경 (ex. old_ws2help.dll)

2. WFP로 인하여 정상적인 파일 복구되는지 확인 (복구 안될 시 ws2helpXP.dll을 ws2help.dll 로 변경

3. 재부팅 후 악성파일 삭제






저작자표시

'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 검색도우미 :: Microprocproc  (1) 2013.08.26
구글업데이트 위장한 악성코드(Zero-Day) :: Google_Mapu.exe  (0) 2013.04.09
[악성코드분석] 검색도우미 :: CloverPlus  (0) 2012.12.21
[악성코드분석] 윈도우 시스템 파일을 위장한 악성코드 분석  (0) 2012.04.13
[악성코드분석] 드디어 Dehydrating a String 코드 샘플을 구하다.  (0) 2012.02.28



특정 사이트에 접속 시 배너 광고를 통한 감염이 이루어지고 있으며, 감염 시 온라인 게임 계정 및 문화상품권 사이트 계정이 유출됩니다. 카스퍼스키 보안 제품에서는 Trojan.Scrip.Iframer 으로 진단하고 있습니다.
 


[악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19)




위와 같이 배너 광고에 악성스크립트가 삽입되어 있는 것을 확인 할 수 있으며, 해당 스크립트를 디코딩하면 공격자 사이트의 yg.html 에 접속하여 악성파일을 설치하도록 되어 있습니다. 감염 형태는 Adobe Flash Player 취약점을 이용하고 있으며 알약, V3 등 국내 보안 제품을 무력화하여 악성파일을 설치합니다.
 



위의 URL을 직접 호출 할 경우 보안 제품이 있어도 감염이 되는군요..ㅡㅡㅋ



 URL 정보

hxxp://66.xxx.xx.218/yg/yg.html
  └ hxxp://119.xxx.xxx.24/yg/t.html
         └ hxxp://119.xxx.xxx.24/yg/done.swf
  └ hxxp://119.xxx.xxx.24/yg/g.html
  └ hxxp://119.xxx.xxx.24/yg/j.html
  └ hxxp://119.xxx.xxx.24/yg/e.html
         └ hxxp://119.xxx.xxx.24/yg/body.swf
최종파일 : _.exe


 생성파일 정보

C:\WINDOWS\system32\ws2help.dll - 악성파일
C:\WINDOWS\system32\ws2help.dll.(영문+숫자1자리랜덤).tmp - 원본파일
C:\WINDOWS\system32\ws2helpxp.dll - 원본파일




윈도우 시스템 파일인 ws2help.dll 원본을 ws2helpxp.dll 로 백업을 하고 있으며, 최초 감염 시 ws2help.dll.4e.tmp 파일이 임시로 원본파일을 대신하고 있습니다.




또한, 해당 프로세스가 종료된 후 재 실행 되면 ws2helpxp.dll 파일이 원본 파일을 대신하고 있으며, 악성파일인 ws2help.dll 은 iexplorer.exe 프로세스에 삽입되어 계정유출 행위를 하고 있습니다.










 계정유출 관련 사이트

1. 온라인게임
- 한게임
- 피망
- 넥슨
- 엔씨소프트
- 엔도어즈
- 와이디온라인 : 엔돌핀
- 블리자드
- 넷마블

2. 그 외 사이트
- 해피머니








제거 방법

악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다. 검사 후 재부팅을 해야 정상적으로 제거가 되며 C:\Windows\system32 폴더 안의 ws2helpxp.dll , ws2help.dll.(영문+숫자1자리랜덤).tmp 파일을 삭제 하시면 됩니다.

안철수연구소 전용백신
하우리 전용백신





저작자표시

'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 드디어 Dehydrating a String 코드 샘플을 구하다.  (0) 2012.02.28
[악성코드분석] 원격 조정가능한 악성파일  (0) 2012.01.25
[악성코드분석] 검색도우미 :: Onbar  (2) 2011.12.05
[악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19)  (4) 2011.11.23
[악성코드분석] 검색도우미 :: truepod  (0) 2011.11.21



19일 카스퍼스키 제품에서 Trojan.Scrip.Iframer 이라는 진단명으로 다수의 컴퓨터에서 감염이 발생되어 확인한 결과 네이버 접속 시 특정 광고를 통하여 감염이 이루어지는 것을 확인하였습니다.

해당 광고가 노출되면 아래와 같은 악성스크립트가 실행이 되어집니다.






AdobeFlashPlayer 취약점을 통하여 감염이 되며 최종 AGS.gif 파일을 다운로드 하여 악성파일을 생성하게 됩니다. AGS.gif 파일은 이미지 파일로 위장하고 있습니다.






 URL 정보
 
hxxp://wap.hell***op.info/a18/my.html?cdkey
   └ hxxp://wap.hell***op.info/a18/new.html?劤壙젬꺄1119
          └ hxxp://wap.hell***op.info/a18/Birthday.swf
   └ hxxp://wap.hell***op.info/a18/fun.htm?莖폭渡괩1119
          └ hxxp://121.78.***.175/Ags/AGS.gif - 최종파일
hxxp://wap.hell***op.info/a18/e.avi


 생성파일 정보

C:\WINDOWS\system32\ws2help.dll - 악성파일
C:\WINDOWS\system32\ws2help.dll.(영문+숫자3자리랜덤).tmp
C:\WINDOWS\system32\ws2helpXP.dll - 원본파일



감염이 되면 원본파일인 ws2help.dll 파일을 다른 이름으로 변경하며 자신이 원본파일인 것처럼 위장하고 있습니다. 또한 iexplorer.exe 프로세스에 로드되어 온라인게임 사이트 및 문화상품권 사이트의 계정을 유출합니다.






iexplorer.exe 에 ws2helpXP.dll 도 같이 로드되어 있으며 아마도 원래의 ws2help.dll 역할을 ws2helpXP.dll 이 처리를 하고 있는 것으로 생각됩니다.




 계정유출 관련 사이트

1. 온라인게임
   - 한게임 : 테라
   - 피망 : 레이시티, 피파온라인
   - 넥슨 : 던파, 엘소드, 바람의나라, 메이플스토리
   - 엔씨소프트 : 리니지
   - 게임하이 : 데카론
   - 블리자드 : 와우
   - 넷마블

2. 그 외 사이트
   - 해피머니
   - 컬쳐랜드





위의 사이트에 로그인을 시도하면 특정 사이트로 계정이 유출되는 것을 확인 할 수 있습니다.





 제거 방법

악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다.

안철수연구소 전용백신
하우리 전용백신

저작자표시

'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 시스템 파일 변조를 통한 온라인 게임 계정유출 악성코드  (0) 2012.01.02
[악성코드분석] 검색도우미 :: Onbar  (2) 2011.12.05
[악성코드분석] 검색도우미 :: truepod  (0) 2011.11.21
[악성코드분석] 검색도우미 :: SponsorMatch  (0) 2011.10.31
[악성코드분석] 스마트보안 :: SmartBoan  (0) 2011.10.28



해당 취약점은 윈도우 취약점과 Adobe 취약점으로 감염되기 때문에 꼭 업데이트를 해야한다.

 

Microsoft 보안업데이트(2011년06월15일)

[Adobe]Security update available for Adobe Flash Player(CVE-2011-2110)

 

ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일이며,
최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.


<감염 증상>
  - 인터넷 이용시 웹 브라우저가 죽는 현상과 국내 보안 제품 (V3, 알약)의 동작을 방해하는 현상이 있다. 


 <악성코드 유포 경로>

  http://208.98.**.227/2.html
  http://208.98.**.227/2.js


 <정상파일 정보>

  파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)
  파일위치 : c:\windows\system32
  파일크기 : 19.5KB


<감염파일 정보>
  파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)
  파일위치 : c:\windows\system32
  파일크기 : 32MB




- 정상파일과 악성파일의 비교

정상파일 ws2help.dll 의 크기는 약 20KB 이며, 새롭게 생성 된 ws2help.dll 악성파일의 크기는 32MB 이다.





<생성파일>

- 감염 시스템에 생성 된 ws2help.dll 과 백업 된 ws3help.dll 변경

1) (정상) ws2help.dll -> ws3help.dll 로 백업시키며,
2) 사용자PC의 감염시간을 표기하는 dll 도 생성시킨다.
3) 정상파일의 이름인 ws2help.dll 파일로 생성시킨다.
4) df.ini 파일을 생성하여 계정 정보를 저장한다.


 아무런 이유없이 인터넷 창이 꺼지거나 
 system32 폴더에 ws3help.dll이나 2011062312.dll(감염날짜) 가 있다면 의심하라!!



감염된 시간을 표시하는 dll 도 생성시킨다.





<계정유출 사이트 정보>
  넷마블
  피망
  넥슨




가로 챈 사용자 정보는 아래의 사이트로 전송되며, df.ini 파일에 계정정보를 저장한다.

  http://www.dnf***.com/net/mail.asp?
  http://www.dnf***.com/pm/mail.asp?

 * url을 게임별로 구분해 놓은걸 보니 아주 섬세한 성격인가보다..





이해를 돕고자 어떻게 계정 유출 되는지 테스트를 해보았다.



로그인 하자마자 내 계정을 바로 빼가신다. 뭐.. 참 대~~단하시다.





- ws2help.dll 수동삭제 방법
해당 파일(ws2help.dll) WFP에 의해 보호받고 있는 파일이기 때문에
악성파일의 이름을 변경해주면 Windows에서 알아서 복구시킨다.

- 삭제 방법은 다음과 같다.

  1. ws2help.dll 의 이름 변경한다.
  2. 윈도우가 복구 해줄때 까지 wait~!
  3. ws2help.dll 파일이 복구 되었는지 확인한다. (정상파일 크기는 20KB이다.)
  4. 재부팅 후 변경 한 ws2help.dll 파일을 삭제한다.
  5. 윈도우 및 Adove Flash Player 를 최신버전으로 업데이트 한다.



'할롬::컴터 > 악성코드분석' 카테고리의 다른 글

[악성코드분석] 변조된 사이트 접속시 악성코드 감염주의  (0) 2011.08.04
[악성코드분석] 정상적인 lpk.dll 시스템 파일 변조하는 악성코드  (0) 2011.06.29
[악성코드분석] 키로거 형태 악성코드 TeUpdate.dll, Crypt2.dll  (2) 2011.06.27
[악성코드분석] 광고성 악성코드 분석  (0) 2011.06.21
[악성코드분석] Winweng.exe 악성코드 분석  (0) 2011.05.26

티스토리툴바