본문 바로가기
IT 보안소식

[정상파일변조] 변조된 사이트를 이용한 정상파일(ws2help.dll)을 수정하는 악성파일 주의!!

by 잡다한 처리 2011. 6. 19.
반응형

최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 이번 내용은 이슈는 아니다.
하지만, 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 기록용으로 포스팅을 한다.

여기서 가장 중요한 사항은 윈도우취약점과 Adobe 취약점으로 감염되기 때문에 꼭 업데이트를 해야한다.

ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.

<정상파일 정보>
파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)
파일위치 : C:\Windows\system32
 


1DB51F51F0602A8FA74AB4FD3E6A872B,19968(XP SP2) - 5.1.2600.2180
90AFFACB3C4F110BA63DF2BE93F2E41A,19968(XP SP3) - 5.1.2600.5512
808AABDF9337312195CAFF76D1804786, 4608(Win7 SP1) -  6.1.7600.16385

- 정상파일과 악성파일의 비교
정상파일 ws2help.dll 의 크기는 약 20KB 이며, 새롭게 생성 된 ws2help.dll 악성파일의 크기는 32MB 이다.



또한 MicroSoft Corporation으로 사용되었던 벤더는 Realtek 으로 위장하고 있다.



- 감염 시스템에 생성 된 ws2help.dll 과 백업 된 ws3help.dll 변경
아래의 그림을 보면 이해가 편하다.
1) (정상) ws2help.dll -> ws3help.dll 로 백업시키며,
2) 사용자PC의 감염시간을 표기하는 2011(월)(달)(시)(분)(초).dll 도 생성시킨다.
3) 마지막으로 정상파일의 이름인 ws2help.dll 파일로 파일을 생성시킨다. 

사이즈의 크기를 봐도 쉽게 알 수 있으며, 자신의 system32 폴더에 ws3help.dll이 있다면 의심하라!!



- 악성파일 행위(아직 정확한 분석이 이루어지지 않았음)

* 지금까지 그랬듯이 사용자의 정보를 가로채는 행위를 하며 감시 프로세스는 다음과 같다.
PCOTP.exe
lin.bin
FF2Client.exe
MapleStory.exe
dnf.exe
IEXPLORE.EXE

* Internet Explorer 사용 시 아래의 사이트를 대상으로 정보를 가로챈다.
pmang.com
netmarble.net
nexon.com
maplestory.nexon
df.nexon.com

* 가로 챈 사용자 정보는 아래의 사이트로 전송된다. 
http://www.fuckyou****.com/lib/df/mail.asp
http://www.fuckyou****.com/lib/dfotp/mail.asp
http://www.fuckyou****.com/lib/pm/mail.asp
http://www.fuckyou****.com/lib/hg/mail.asp
http://www.fuckyou****.com/lib/mxd/mail.asp
http://www.fuckyou****.com/lib/t1/mail.asp
http://www.fuckyou****.com/lib/mxdotp/mail.asp
http://www.fuckyou****.com/lib/ax/mail.asp


- ws2help.dll 수동삭제 방법(대상 시스템은 Windows XP이다, Win7도 마찬가지긴 하나 조금씩 다를 수 있음)
해당 정상파일(ws2help.dll)은 WFP에 의해 보호받고 있는 파일이다.
따라서 악성파일의 이름을 변경해주면 Windows에서 복구시킨다. (시스템에 따라 안될 수도 있으니 주의!!)

* 수동삭제 방법은 다음과 같다.

1. ws2help.dll 의 이름 변경 (약 5분 안에 ws2help.dll 20KB 사이즈를 가진 정상파일이 생성 됨)
2. 재부팅
3. 재부팅 후 변경 한 ws2help.dll 파일을 삭제한다.


만약 1번에서 파일이 생성되지 않았는데 재부팅을 한다면 아래와 같은 무서운 화면을 보시게 되며, 무한 재부팅이 되니 주의!!





댓글