반응형
최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 이번 내용은 이슈는 아니다.
하지만, 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 기록용으로 포스팅을 한다.
여기서 가장 중요한 사항은 윈도우취약점과 Adobe 취약점으로 감염되기 때문에 꼭 업데이트를 해야한다.
ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
여기서 가장 중요한 사항은 윈도우취약점과 Adobe 취약점으로 감염되기 때문에 꼭 업데이트를 해야한다.
ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
<정상파일 정보>
파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)
파일위치 : C:\Windows\system32
1DB51F51F0602A8FA74AB4FD3E6A872B,19968(XP SP2) - 5.1.2600.2180
90AFFACB3C4F110BA63DF2BE93F2E41A,19968(XP SP3) - 5.1.2600.5512
808AABDF9337312195CAFF76D1804786, 4608(Win7 SP1) - 6.1.7600.16385
파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)
파일위치 : C:\Windows\system32
1DB51F51F0602A8FA74AB4FD3E6A872B,19968(XP SP2) - 5.1.2600.2180
90AFFACB3C4F110BA63DF2BE93F2E41A,19968(XP SP3) - 5.1.2600.5512
808AABDF9337312195CAFF76D1804786, 4608(Win7 SP1) - 6.1.7600.16385
- 정상파일과 악성파일의 비교
정상파일 ws2help.dll 의 크기는 약 20KB 이며, 새롭게 생성 된 ws2help.dll 악성파일의 크기는 32MB 이다.
또한 MicroSoft Corporation으로 사용되었던 벤더는 Realtek 으로 위장하고 있다.
- 감염 시스템에 생성 된 ws2help.dll 과 백업 된 ws3help.dll 변경
아래의 그림을 보면 이해가 편하다.
1) (정상) ws2help.dll -> ws3help.dll 로 백업시키며,
2) 사용자PC의 감염시간을 표기하는 2011(월)(달)(시)(분)(초).dll 도 생성시킨다.
3) 마지막으로 정상파일의 이름인 ws2help.dll 파일로 파일을 생성시킨다.
사이즈의 크기를 봐도 쉽게 알 수 있으며, 자신의 system32 폴더에 ws3help.dll이 있다면 의심하라!!
- 악성파일 행위(아직 정확한 분석이 이루어지지 않았음)
* 지금까지 그랬듯이 사용자의 정보를 가로채는 행위를 하며 감시 프로세스는 다음과 같다.
PCOTP.exe
lin.bin
FF2Client.exe
MapleStory.exe
dnf.exe
IEXPLORE.EXE
* Internet Explorer 사용 시 아래의 사이트를 대상으로 정보를 가로챈다.
netmarble.net
nexon.com
maplestory.nexon
df.nexon.com
* 가로 챈 사용자 정보는 아래의 사이트로 전송된다.
http://www.fuckyou****.com/lib/df/mail.asp
http://www.fuckyou****.com/lib/dfotp/mail.asp
http://www.fuckyou****.com/lib/pm/mail.asp
http://www.fuckyou****.com/lib/hg/mail.asp
http://www.fuckyou****.com/lib/mxd/mail.asp
http://www.fuckyou****.com/lib/t1/mail.asp
http://www.fuckyou****.com/lib/mxdotp/mail.asp
http://www.fuckyou****.com/lib/ax/mail.asp
- ws2help.dll 수동삭제 방법(대상 시스템은 Windows XP이다, Win7도 마찬가지긴 하나 조금씩 다를 수 있음)
해당 정상파일(ws2help.dll)은 WFP에 의해 보호받고 있는 파일이다.
따라서 악성파일의 이름을 변경해주면 Windows에서 복구시킨다. (시스템에 따라 안될 수도 있으니 주의!!)
* 수동삭제 방법은 다음과 같다.
1. ws2help.dll 의 이름 변경 (약 5분 안에 ws2help.dll 20KB 사이즈를 가진 정상파일이 생성 됨)
2. 재부팅
3. 재부팅 후 변경 한 ws2help.dll 파일을 삭제한다.
만약 1번에서 파일이 생성되지 않았는데 재부팅을 한다면 아래와 같은 무서운 화면을 보시게 되며, 무한 재부팅이 되니 주의!!
- 관련글
2011/05/11 - [악성코드소식] - [정상파일변조] 변조된 사이트를 이용한 정상파일(imm32.dll)을 수정하는 악성파일 주의!!
2011/05/08 - [악성코드소식] - 악성파일로 인한 변조 된 정상파일(midimap.dll) 수동으로 치료하기!!
2011/04/18 - [악성코드소식] - [정상파일변조] 변조된 사이트를 이용한 정상파일(midimap.dll)을 수정하는 악성파일 주의!!
2011/01/05 - [악성코드소식] - 홈페이지 변조를 통한 악성코드 유포 주의(Comres.dll 및 imm32.dll 파일 변조)
2010/11/13 - [악성코드소식] - 익스플로러(Internet Explorer) 0-Day 취약점을 이용한 국내사이트 유포 주의!!
2010/07/19 - [악성코드소식] - 변조 된 imm32.dll파일에 추가된 "rs64 New Section"
2009/11/17 - [악성코드소식] - imm32.dll을 변경시키는 스파이웨어 발견!!
'IT 보안소식' 카테고리의 다른 글
트렌드마이크로(TrendMicro), 외국 보안업체 최초로 국내 악성코드 패턴 실시간 업데이트 (6) | 2011.06.23 |
---|---|
이스트소프트(ESTsoft), 차세대 개방형 포털사이트 "줌닷컴(zum.com)" 티저 동영상 공개 (2) | 2011.06.20 |
알약(ALYac), 로그인 상태를 가로채는 앱을 통한 개인정보 유출 주의 (0) | 2011.06.14 |
하우리(Hauri), 스마트폰 도청 및 해킹 위협 시연 공개(MBC단독보도 - 도청에 뚫렸다!!) (0) | 2011.06.08 |
안드로이드(Android), 정상 어플리케이션으로 위장한 "DroidDream" 변종 "DroidDreamLight" 주의!! (0) | 2011.06.03 |
댓글