반응형
최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.
그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.
ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : 1DB51F51F0602A8FA74AB4FD3E6A872B
Size : 19968 Byte
- Windows XP sp3 (ver 5.1.2600.5512)
MD5 : 90AFFACB3C4F110BA63DF2BE93F2E41A
Size : 19968 Byte
- Windows7 sp1 (ver 6.1.7600.16385)
MD5 : 808AABDF9337312195CAFF76D1804786
Size : 4608 Byte
- 악성파일의 유포 과정
악성파일의 유포는 주말 사이트 변조 "펀X" 사이트에서 이루어졌다.
변조 된 사이트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램<일명 공다팩(GongDa Pack)>으로 작성되어
있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다.
- 정상파일과 악성파일의 비교
정상파일 ws2help.dll 의 크기는 약 20KB 이며, 새롭게 생성 된 ws2help.dll 악성파일의 크기는 약 73KB 이다.
변조 된 ws2help.dll 파일은 실행 시 정상파일의 백업본인 "c:\windows\system32\wsockhelp32.dll" 파일을 로드한다.
또한 hosts 파일의 대체용으로 랜덤한 파일명으로 보안사이트의 업데이트를 방해한다.
- ws2help.dll 수동삭제 방법(대상 시스템은 Windows XP이다, Win7도 마찬가지긴 하나 조금씩 다를 수 있음)
해당 정상파일(ws2help.dll)은 WFP에 의해 보호받고 있는 파일이다.
따라서 악성파일의 이름을 변경해주면 Windows에서 복구시킨다. (시스템에 따라 안될 수도 있으니 주의!!)
* 수동삭제 방법은 다음과 같다.
만약 1번에서 파일이 생성되지 않았는데 재부팅을 한다면 아래와 같은 무서운 화면을 보시게 되며, 무한 재부팅이 되니 주의!!
![](https://t1.daumcdn.net/cfile/tistory/2024EC444DFDD3F231)
ws2help.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
<정상파일 정보>
파일명 : ws2help.dll(Windows Socket 2.0 Helper for Windows NT)
파일위치 : C:\Windows\system32
파일위치 : C:\Windows\system32
- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : 1DB51F51F0602A8FA74AB4FD3E6A872B
Size : 19968 Byte
- Windows XP sp3 (ver 5.1.2600.5512)
MD5 : 90AFFACB3C4F110BA63DF2BE93F2E41A
Size : 19968 Byte
- Windows7 sp1 (ver 6.1.7600.16385)
MD5 : 808AABDF9337312195CAFF76D1804786
Size : 4608 Byte
- 악성파일의 유포 과정
악성파일의 유포는 주말 사이트 변조 "펀X" 사이트에서 이루어졌다.
변조 된 사이트에는 "Dadong JSXX 0.44 VIP" 문자열을 가진 유명 난독화 프로그램<일명 공다팩(GongDa Pack)>으로 작성되어
있으며, 복호화에 성공하면 아래와 같은 url에 접속하게 된다.
http://175.***.**.133/index.html (Main Malware Script)
http://175.***.**.133/swfobject.js (SWF Object Script)
http://175.***.**.133/jpg.js (JRE & Applet Script)
http://175.***.**.133/YtUwn4.jpg (Java Exploit CVE-2011-3544)
http://175.***.**.133/DBOvrKj0.jpg (Java Exploit CVE-2012-0507)
http://175.***.**.133/FNxI2.html (XML Core Services Exploit CVE-2012-1889)
http://175.***.**.133/YtUwn4.html (XML Core Services Exploit CVE-2012-1889)
http://211.***.***.167/mm.exe (Spyware Dropper Malware)
- 정상파일과 악성파일의 비교
정상파일 ws2help.dll 의 크기는 약 20KB 이며, 새롭게 생성 된 ws2help.dll 악성파일의 크기는 약 73KB 이다.
변조 된 ws2help.dll 파일은 실행 시 정상파일의 백업본인 "c:\windows\system32\wsockhelp32.dll" 파일을 로드한다.
또한 hosts 파일의 대체용으로 랜덤한 파일명으로 보안사이트의 업데이트를 방해한다.
* 생성파일
C:\WINDOWS\system32\ws2help.dll (변조 된 정상파일-악성)
C:\WINDOWS\system32\wsockhelp32.dll (백업 된 정상파일)
C:\WINDOWS\system32\drivers\etc\(랜덤파일명) (hosts 파일 대체용)
- ws2help.dll 수동삭제 방법(대상 시스템은 Windows XP이다, Win7도 마찬가지긴 하나 조금씩 다를 수 있음)
해당 정상파일(ws2help.dll)은 WFP에 의해 보호받고 있는 파일이다.
따라서 악성파일의 이름을 변경해주면 Windows에서 복구시킨다. (시스템에 따라 안될 수도 있으니 주의!!)
* 수동삭제 방법은 다음과 같다.
1. ws2help.dll 의 이름 변경 ( 예제 : ws2help.dll → ws2help.dll.dll)
2.
wsockhelp32.dll 파일의 이름을 ws2hlep.dll 로 변경
3. 재부팅
4. 재부팅 후 변경 한 ws2help.dll.dll 파일을 삭제한다.
5. C:\WINDOWS\system32\drivers\etc\(랜덤파일명) 삭제
만약 1번에서 파일이 생성되지 않았는데 재부팅을 한다면 아래와 같은 무서운 화면을 보시게 되며, 무한 재부팅이 되니 주의!!
'IT 보안소식' 카테고리의 다른 글
네이버, 다음, 네이트 아이디 판매 문자 주의!! (6) | 2012.08.01 |
---|---|
걸그룹 "티아라(T-ara) 화영" 이슈를 이용한 백도어 유포 주의!! (4) | 2012.07.31 |
올레 KT(Olleh KT), 고객정보 800만건 개인정보유출 해킹사건(7월 29일) (4) | 2012.07.30 |
다음(Daum), 다음클리너에 V3가 추가 된 "DaumV3" 출시!! (2) | 2012.07.27 |
구글코드서비스(GoogleCode)를 이용한 "Hosts 변조 + 국내 인터넷뱅킹 개인정보를 노리는 악성코드" 주의!! (0) | 2012.07.18 |
댓글