[정상파일변조] spoo1sv.exe을 이용한 정상파일(ws2help.dll)을 수정하는 악성파일 주의!!

최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 이번 내용은 이슈는 아니다.

하지만, 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 기록용으로 포스팅을 한다.

ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.

<정상파일 정보>
파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)
파일위치 : C:\Windows\system32 

1DB51F51F0602A8FA74AB4FD3E6A872B,19968(XP SP2) - 5.1.2600.2180
90AFFACB3C4F110BA63DF2BE93F2E41A,19968(XP SP3) - 5.1.2600.5512
808AABDF9337312195CAFF76D1804786, 4608(Win7 SP1) -  6.1.7600.16385

이번 악성코드의 특징은 악성 ws2help.dll 과 드롭퍼 자체를 DAT 파일로 백업하여 생성 해 둔 파일이 삭제 시 원상복구 시킨다.
전체적인 흐름은 아래 그림과 같다!!

- 생성 되는 악성 파일
C:\Windows\spoo1sv.exe 
C:\WINDOWS\system32\ws2help.dll
C:\WINDOWS\system32\wimedump.dll 
C:\Windows\tasks\SA01.dat
C:\Windows\tasks\SA02.dat

그럼 간단하게 분석을 해보자~!!

우선 드롭퍼는 자신이 해당 PC에서 자신의 파일이 실행되었는지 Windows폴더에 winurl.dat 확인한다.

이후 감염PC에 생성 할 ws2help.dll의 백업파일을 C:\WINDOWS\tasks\SA01.dat로 생성한다.
여기서 재미있는것은 헤더 시그니쳐를 0x30, 0x30 으로 수정한다는 점이다.(보안제품의 탐지를 우회하려는 행위 인듯...)

악성 ws2help.dll의 백업이 끝나면 현재 실행중인 드롭퍼 또한 C:\WINDOWS\tasks\SA02.dat 파일로 백업시킨다.
그리고 C:\WINDOWS\Windows폴더에 spoo1sv.exe 로 복사한다.

자신의 복사 및 백업파일 저장 작업이 끝나면 ws2help.dll 파일에 대한 WFP(Windows File Protection)를 해제한다.
그리고 %system32%폴더에 wimedump.dll 파일이 있는지 확인 후, 없다면 정상 ws2help.dll 파일을 wimedump.dll 파일이름으로
변경한다.  

그리고 system32폴더와 system32\dllcache 폴더에 리소스로 가지고 있던 악성 ws2help.dll 파일을 생성한다.

이번 악성 ws2help.dll의 경우는 원본파일의 코드를 가지고 있지 않아서 백업 한 wimedump.dll 파일의 Export Table을 참조한다.

모든 작업을 마친 드롭퍼는 종료되지 않고 국내 보안프로그램을 주기적으로 삭제시킨다.
삭제시키는 국내 보안프로그램은 아래그림과 같이 V3 365, V3 Lite, Naver 백신, Alyac 총 4가지이다.

현재 알약에서는 Spyware.OnlineGames.wime, Trojan.Drpper.OnlineGames.wime으로 탐지한다.