본문 바로가기

악성코드 정보

시스템 파일을 변조하는 온라인 게임핵 악성코드 변경

1. 서론
최근 윈도우 시스템 파일을 악성으로 변조하는 온라인 게임핵 악성코드가 다수 발견되고 있다. 이러한 악성코드는 대부분 웹사이트를 통해 유포되는데 계속해서 새로운 변종을 만들고 있어 많은 사용자가 감염이 되어 정보공유 차원에서 작성을 한다.


2. 악성코그 감염 경로
해당 악성코드는 웹사이트를 통해 유포되며 유포방법은 총 3가지 취약점을 이용한다.

1) Adobe Flash Player, CVE-2011-0611
위 취약점은 SWF 파일을 이용한 취약점으로 주소 banner숫자.swf, nb.swf 등의 파일명으로 유포가 이루어 진다. 분석을 해보면 아래와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인할 수 있다.

[그림 1] SWF 파일 분석 화면


해당 쉘코드를 분석하면 아래와 같이 jpg을 받아 실행함을 알 수 있다. 확장자는 jpg나 실제로는 이미지 파일이 아닌 악성코드 파일이다.
[그림 2] 쉘코드 분석 후 최종 다운로드 받는 URL을 확인한 화면



2) Adobe Flash Player, CVE-2011-2110
해당 취약점은 지난 6월 15일에 보안 업데이트가 나온 취약점으로 가장 최근에 나온 취약점이다. 현재 국내의 다수 사용자가 여전히 해당 보안 업데이트를 하지 않은 상황이라 이로 인해 많은 감염자가 발생하고 있다.

분석을 하면 암호화 된 URL이 있으며 이를 해제하면 아래와 같이 TXT 파일을 받아 실행한다. 이 TXT 파일은 역시 악성코드가 암호화 된 파일이며 아래와 같이 암호화를 해제하면 정상적인 윈도우 실행 파일임을 확인할 수 있다.

[그림 3] 암호화 된 URL 및 파일



3) Internet Explorer, CVE-2010-3962, MS10-090
2010년에 나온 인터넷 익스플로러 취약점으로 여전히 이 취약점도 악성코드 유포에 많이 이용되고 있다.

[그림 4] 인터넷 익스플로러 취약점 분석 과정 중 일부 화면


따라서 악성코드 감염을 예방하기 위해서는 위 취약점들에 대한 보안 업데이트를 하여야 한다. 업데이트 방법은 아래와 같다.

1) Adobe Flash Player 업데이트 방법
http://core.ahnlab.com/302

2) Internet Explorer 업데이트 방법
http://core.ahnlab.com/221
[표 1] 보안 취약점에 대한 업데이트 방법



3. 감염 시 나타는 증상
해당 악성코드 감염 시 웹브라우져가 정상적으로 실행이 되지 않고 종료된다거나 시스템이 느려지는 증상이 발생한다. 그리고 기존에는 윈도우 시스템 파일 중 imm32.dll, lpk.dll 파일을 변경하였다.

윈도우 시스템 파일을 변조하는 악성코드 주의 : http://core.ahnlab.com/294
imm32.dll 교체 악성코드, 당신 PC의 권한을 탐하다. : http://core.ahnlab.com/283
윈도우 정상 파일을 악성코드로 교체하는 Win-Trojan/Agent.30904.H : http://core.ahnlab.com/280
imm32.dll을 패치하는 악성코드 조치 가이드 Ver. 2.0 : http://core.ahnlab.com/267
악성코드로 인한 imm32.dll 파일 변조 조치 가이드 : http://core.ahnlab.com/173
[표 2] 기존에 나왔던 윈도우 시스템 파일을 변조하는 악성코드 관련 내용


하지만 이번에 변경되는 파일은
ws2help.dll 파일이다.


악성코드 감염을 확인할 수 있는 방법은 아래와 같이 C:\Windows\System32 폴더에서 ws2help.dll 파일을 찾아 확인하였을 시 20KB 정도의 사이즈면 정상이나, 아래와 같이 32,802KB 등과 같이 사이즈가 크다며 악성코드에 감염된 것이다. 추가로 정상 파일은 ws3help.dll 로 백업하는 것으로 확인되었다.

[그림 5] 악성코드 감염 시 비정상 적으로 사이즈가 커진 파일




4. 감염 시 치료 방법
해당 악성코드에 감염된 경우 아래 안철수연구소 홈페이지에서 제공하는 전용백신을 이용하여 치료를 할 수 있다.

[그림 6] 전용백신으로 해당 악성코드를 검출한 화면



전용백신 다운로드
http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3_gamehackkill.exe

  • ㅇㅇ 2011.06.20 15:11 댓글주소 수정/삭제 댓글쓰기

    언제나 좋은 정보 감사해요^^

  • 감사합니다..
    19일부터 인터넷이 꺼져서 몇시간전에 %NXU32YHysu3YDU3IDd46TGh%폴더도 삭제해보고
    v3_integration1(6월13일 버전)으로 검사도해보고 302번글도 본후 따라해보고 익스 설정초기화도해보고 이것저것많이 건들여봤는데도 안되서 거의 반 포기상태였는데.. 이글을 이제서야 발견했네요....

  • 지은 2011.06.22 03:59 댓글주소 수정/삭제 댓글쓰기

    저는 윈도우 7의 서비스팩 1을 쓰고 있습니다. 그런데 ws2help.dll의 크기가 4.50kb, 디스크 할당량은 8.00 kb입니다. 아무리 생각해도 사이즈가 너무 작은 것 같은데. 이것이 정상인가요? 혹시 용량을 작게 만드는 추가 변종일 가능성은 없는 건가요?

    • 지나가다 2011.06.22 09:12 댓글주소 수정/삭제

      저 악성코드는원래 사이즈가 작은데 백신 제품을 우회하려고 내부에 쓰레기 데이터를 많이 넣어둡니다. XP에서 파일의 크기가 20K이므로 파일 크기가 그정도라면 감염시도는 된 것으로 보셔도 될것 같고요.. 악성코드가 버그가 있어서 쓰레기데이터가 안들어갔거나 파일 생성과정에서 뭔가 오류가 있었을 것 같습니다.. 전용백신에서 치료가 안된다면 변조된 파일을 삭제하고 정상 PC에서 가져온 후 리부팅을 하면 될것 같습니다. ^^*

  • 비밀댓글입니다

  • Isin 2011.07.18 01:49 댓글주소 수정/삭제 댓글쓰기

    이거 감염되었던것 같은데요,
    순간 컴퓨터가 살짝 느려지더니 ->v3 Lite가 트레이에서 사라지고-> 수동으로 연 v3의 실시간 감시 죽음->익스플로러 네이버 접속이 안됨, 파폭,크롬은 ws2help.dll이 없다고 작동 안함 -> ws2help.dll 삭제 후 ws3help.dll로 교체(여기서 이상했던게 ws2help가 30k정도가 아니라 똑같이 20k였어요. 변종?일까요?)-> 여전히 v3는 죽어있는 상태. 파폭등은 작동되지만 네이버는 접속 안됨 -> 네이버 IP주소로 접속-> 이후 url로도 접속이 가능하게 됨 -> 안철수연구소 사이트에서 20일버전 v3_integration1과 게임핵툴킷 두가지 받아서 실행 -> 발견된 바이러스 없음 -> %NXU32YHysu3YDU3IDd46TGh%폴더 검색 -> 폴더는 존재하는데 exe가 없음(원래 안보이는건가요?) -> 폴더채 삭제 ->2011~~.dll 3개 검출 확장자 변경은 해놨지만 얘들을 삭제해도 문제 없는지 궁금하네요? -> 현재

    1. 2011~~.dll 이거 삭제해도 상관 없는 dll인가요?
    2. ws2help를 원상복귀시켜놓으면 더 이상 위험성은 없는것인지요?
    3. 최근 v3가 죽는 경우가 너무 잦은데(이번달에만 4~5번) 백도어라던지 깔려있을 확률이 있을까요?

    깜짝놀라서 ws2help.dll, %NXU32YHysu3YDU3IDd46TGh%폴더등을 백업 안해놓고 삭제해버렸네요;; 신고했으면 좋으련만...