본문 바로가기
악성코드 정보

시스템 파일 교체 악성코드는 계속 변화 중...

by 알 수 없는 사용자 2011. 7. 18.

지난주말에도 어김없이 국내 일부 사이트들이 해킹되어 윈도우 정상 시스템 파일을 교체하는 악성코드가 유포되었다. 그리고 이번 주에 유포된 "정상 윈도우 파일인 ws2help.dll을 교체하는 악성코드에서 감염방식의 변화"가 있었다.

어떤 부분에서 변화가 있었는지 지금부터 살펴보도록 하겠다.


원형 vs. 변형

[그림 1] 원형의 ws2help.dll 교체과정

기존의 악성코드에서 정상 윈도우 파일인 ws2help.dll [그림 1]의 과정대로 교체를 했다면 이번 주말에 발견된 악성코드는 아래 과정을 거친다.


[그림 2] 변형의 ws2help.dll 교체과정

[그림 1] [그림 2]의 차이점은 [그림 1], 드롭퍼에 의해서 ws2help.dll로 생성된 악성 DLL이 악의적인 목적(특정 온라인 게임 사용자의 계정정보 탈취, 백신 무력화 등)을 수행하면서 정상 프로그램과 백업된 정상 DLL ws3help.dll(원본 파일명은 ws2help.dll)에 다리 역할을 했다면 [그림 2], 드롭퍼가 실행되면 sleep.dll , 패치된 ws2help.dll을 생성하고 이후 동작방식은 imm32.dll이 패치되었을 때와 동일하다.

참고정보: http://core.ahnlab.com/267,

 위 주소에서 "4. imm32.dll을 패치하는 악성코드, 어떻게 동작할까?"부분을 참고하면 된다.


 • Win-Trojan/Patcher.98704의 파일구조

Win-Trojan/Patcher.98704(이하 Patcher.98704)의 파일구조는 아래와 같다.

[그림 3] Win-Trojan/Patcher.98704의 파일구조

Patcher.98704 [그림 3]처럼 NSIS라는 스크립트로 패키징된 파일로 언패킹을 하면 약 32mb의 드롭퍼가 존재한다. 그리고 해당 드롭퍼는 UPX라는 실행압축 프로그램에 의해서 압축되어 있고, 실행압축 해제가 불가능하도록 일부 정보가 조작되어 있다.

[그림 4] Patcher.98704의 조작된 파일 헤더정보

실행압축 해제한 후 Patcher.98704 .rsrc섹션을 살펴보면 아래 2개의 RESOURCE_ENTRY가 존재하며 해당 리소스들이 Patcher.98704가 실행될 때 생성되는 파일들이다.

[그림 5] Sleep.dll과 패치된 ws2help.dll의 리소스 정보

 Patcher.98704는 정상 윈도우 파일인 ws2help.dll을 악성 DLL로 교체하기 위해서 윈도우 파일보호 기능을 무력화한다. 악성코드에서 해당 기능을 무력화하는 방법은 여러 차례 다루었으므로 이번에는 생략한다.

 • 참고정보: http://core.ahnlab.com/267

 위 주소에서 "4. imm32.dll을 패치하는 악성코드, 어떻게 동작할까?"부분을 참고하면 된다

 드롭퍼인 Patcher.98704가 생성하는 ws2help.dllsleep.dll을 로딩하도록 패치된 중국어 버전의 ws2help.dll이다.

[그림 6] 백업된 정상 파일과 패치된 파일의 비교


 • Win-Trojan/Patcher.98704의 동작방식

Patcher.98704의 전체적인 동작방식은 아래와 같다.

[그림 7] Patcher.98704의 동작방식

패치된 ws2help.dll을 살펴보면 정상 프로그램들이 해당 DLL을 로딩할 때 Patcher.98704가 생성한 악성 DLL sleep.dll도 로딩하도록 되어 있다.

[그림 8] 패치된 ws2help.dllsleep.dll을 로딩하는 코드

%SYSTEM%\sleep.dll은 특정 온라인 게임 계정정보를 탈취하는 트로이목마이며 아래 주소로 전송된다.

[그림 9] 탈취된 계정정보가 전송되는 URL


• 안철수연구소의 대응상태
현재 V3제품군에서는 해당 악성코드에 대해서는 2011.07.18 이후 엔진이면 아래와 같이 대응하고 있다.

Win-Trojan/Patcher.98704
HTML/Agent
JS/Cve-2010-0806
Win-Trojan/Onlinegamehack.33597952
Win-Trojan/Patched.19968.F


• 악성코드 감염예방을 위한 수칙
기존의 알려진 IE 취약점과 Adobe Flash Player의 취약점을 이용하므로 반드시 업데이트를 해야 악성코드 감염을 예방할 수 있다.

1. Windows 보안 업데이트 설치:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko

2. Adobe Flash Player 업데이드 설치:
http://get.adobe.com/kr/flashplayer/


댓글