반응형
최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.
그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.
ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : 1DB51F51F0602A8FA74AB4FD3E6A872B
Size : 19968 Byte
- Windows XP sp3 (ver 5.1.2600.5512)
MD5 : 90AFFACB3C4F110BA63DF2BE93F2E41A
Size : 19968 Byte
- Windows7 sp1 (ver 6.1.7600.16385)
MD5 : 808AABDF9337312195CAFF76D1804786
Size : 4608 Byte
- 악성파일의 유포 과정
악성파일의 유포는 주말 사이트 변조 "펀X" 사이트에서 이루어졌다.
변조 된 사이트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램<일명 공다팩(GongDa Pack)>으로 작성되어
있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다.
- 정상파일과 악성파일의 비교
정상파일 ws2help.dll 의 크기는 약 20KB 이며, 새롭게 생성 된 ws2help.dll 악성파일의 크기는 약 73KB 이다.
변조 된 ws2help.dll 파일은 실행 시 정상파일의 백업본인 "c:\windows\system32\wsockhelp32.dll" 파일을 로드한다.
또한 hosts 파일의 대체용으로 랜덤한 파일명으로 보안사이트의 업데이트를 방해한다.
- ws2help.dll 수동삭제 방법(대상 시스템은 Windows XP이다, Win7도 마찬가지긴 하나 조금씩 다를 수 있음)
해당 정상파일(ws2help.dll)은 WFP에 의해 보호받고 있는 파일이다.
따라서 악성파일의 이름을 변경해주면 Windows에서 복구시킨다. (시스템에 따라 안될 수도 있으니 주의!!)
* 수동삭제 방법은 다음과 같다.
만약 1번에서 파일이 생성되지 않았는데 재부팅을 한다면 아래와 같은 무서운 화면을 보시게 되며, 무한 재부팅이 되니 주의!!
ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
<정상파일 정보>
파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)
파일위치 : C:\Windows\system32
파일위치 : C:\Windows\system32
- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : 1DB51F51F0602A8FA74AB4FD3E6A872B
Size : 19968 Byte
- Windows XP sp3 (ver 5.1.2600.5512)
MD5 : 90AFFACB3C4F110BA63DF2BE93F2E41A
Size : 19968 Byte
- Windows7 sp1 (ver 6.1.7600.16385)
MD5 : 808AABDF9337312195CAFF76D1804786
Size : 4608 Byte
- 악성파일의 유포 과정
악성파일의 유포는 주말 사이트 변조 "펀X" 사이트에서 이루어졌다.
변조 된 사이트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램<일명 공다팩(GongDa Pack)>으로 작성되어
있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다.
http://175.***.**.133/index.html (Main Malware Script)
http://175.***.**.133/swfobject.js (SWF Object Script)
http://175.***.**.133/jpg.js (JRE & Applet Script)
http://175.***.**.133/YtUwn4.jpg (Java Exploit CVE-2011-3544)
http://175.***.**.133/DBOvrKj0.jpg (Java Exploit CVE-2012-0507)
http://175.***.**.133/FNxI2.html (XML Core Services Exploit CVE-2012-1889)
http://175.***.**.133/YtUwn4.html (XML Core Services Exploit CVE-2012-1889)
http://211.***.***.167/mm.exe (Spyware Dropper Malware)
- 정상파일과 악성파일의 비교
정상파일 ws2help.dll 의 크기는 약 20KB 이며, 새롭게 생성 된 ws2help.dll 악성파일의 크기는 약 73KB 이다.
변조 된 ws2help.dll 파일은 실행 시 정상파일의 백업본인 "c:\windows\system32\wsockhelp32.dll" 파일을 로드한다.
또한 hosts 파일의 대체용으로 랜덤한 파일명으로 보안사이트의 업데이트를 방해한다.
* 생성파일
C:\WINDOWS\system32\ws2help.dll (변조 된 정상파일-악성)
C:\WINDOWS\system32\wsockhelp32.dll (백업 된 정상파일)
C:\WINDOWS\system32\drivers\etc\(랜덤파일명) (hosts 파일 대체용)
- ws2help.dll 수동삭제 방법(대상 시스템은 Windows XP이다, Win7도 마찬가지긴 하나 조금씩 다를 수 있음)
해당 정상파일(ws2help.dll)은 WFP에 의해 보호받고 있는 파일이다.
따라서 악성파일의 이름을 변경해주면 Windows에서 복구시킨다. (시스템에 따라 안될 수도 있으니 주의!!)
* 수동삭제 방법은 다음과 같다.
1. ws2help.dll 의 이름 변경 ( 예제 : ws2help.dll → ws2help.dll.dll)
2.
wsockhelp32.dll 파일의 이름을 ws2hlep.dll 로 변경
3. 재부팅
4. 재부팅 후 변경 한 ws2help.dll.dll 파일을 삭제한다.
5. C:\WINDOWS\system32\drivers\etc\(랜덤파일명) 삭제
만약 1번에서 파일이 생성되지 않았는데 재부팅을 한다면 아래와 같은 무서운 화면을 보시게 되며, 무한 재부팅이 되니 주의!!
'IT 보안소식' 카테고리의 다른 글
| 네이버, 다음, 네이트 아이디 판매 문자 주의!! (6) | 2012.08.01 |
|---|---|
| 걸그룹 "티아라(T-ara) 화영" 이슈를 이용한 백도어 유포 주의!! (4) | 2012.07.31 |
| 올레 KT(Olleh KT), 고객정보 800만건 개인정보유출 해킹사건(7월 29일) (4) | 2012.07.30 |
| 다음(Daum), 다음클리너에 V3가 추가 된 "DaumV3" 출시!! (2) | 2012.07.27 |
| 구글코드서비스(GoogleCode)를 이용한 "Hosts 변조 + 국내 인터넷뱅킹 개인정보를 노리는 악성코드" 주의!! (0) | 2012.07.18 |
댓글