또 다시 주말이 왔습니다. 주말이 되면 일상적으로 시도되는 자동화된 공격을 pgr도 당분간은 피해갈 수 없는 일이 되버린 것 같습니다. 간혹 질문글에 보안 제품의 악성코드 차단 메시지를 보고 질문하시는 분들이 있어 간단하게 이번 주에 유포되는 악성코드에 대해서 살펴보도록 하겠습니다.
※ 아마추어가 하는 것이라 빠진 부분이 여럿 있고, 틀린 부분이 있을 수 있습니다. 적당히 참고하시고 관련글의 링크를 주의깊게 읽어보시기 바랍니다.
각설하고 이번주에 pgr에 삽입된 코드는 아래와 같습니다.
관리자분들이 계속 처리를 하시고, 공격자들이 코드를 바꾸는 경우가 있으니 확실하지는 않습니다.
(09시경 유포되었던 코드)
요놈은 아래와 같은 중간 스크립트들과 최종 악성코드를 다운받게 합니다.
┗ h**p://jsp.imaeil.com/p.html
┗ h**p://jsp.imaeil.com/z.html
┗ h**p://jsp.imaeil.com/z.js
┗ h**p://jsp.imaeil.com/l.html
┗ h**p://jsp.imaeil.com/c.html
┗ h**p://jsp.imaeil.com/c.swf
┗ h**p://jsp.imaeil.com/top.swf
┗ h**p://jsp.imaeil.com/ad.swf (Exploit.SWF.CVE-2010-2884.b : Kaspersky)
┗ h**p://jsp.imaeil.com/n.html (EXP/CVE-2010-0806.AD : AVIRA)
-> h**p://jsp.imaeil.com/p.css -> s.exe (Dropper/Win32.OnlineGameHack : v3)
- MD5 : 1ec3df98171ed9ab9b3a033df2aaf58e
이번 공격 또한 Adobe Plash Player와 IE의 취약점을 이용해 공격합니다. 따라서 Adobe flash player 최신 버전인 11.0.1.152로 업데이트되고, IE의 최신 보안 패치가 설치된 환경에서는 악성코드가 다운/실행되지 않습니다. 취약점이 제거된 상황이거나, 안티바이러스에 의해 중간 스크립트 코드 또는 최종 악성코드가 진단, 차단될 경우 시스템 감염은 이루어지지 않습니다.
일단 취약점이 존재하고 안티 바이러스의 성능이 미비할 경우 최종 다운로드되는 악성코드는 시스템 폴더의 ws2help.dll 을 패치하여 IE와 각종 프로세스에 삽입 특정 사이트와 프로세스를 감시하게 됩니다. 감시되는 사이트와 프로세스는 주로 국내 온라인 게임들이며, 사실상 대부분의 온라인 게임 아이디와 비밀번호가 감시, 유출된다 보시면 됩니다.
- MD5 : 83fbca5de6b18f9b5a64c4e1eb832880
ㆍ원본 파일 -> C:\WINDOWS\system32\ws3help.dll
-> C:\WINDOWS\system32\2011(랜덤값 숫자).dll
아래와 같이 감연된 ws2help.dll은 모질라 재단의 파이어폭스의 파일(plds4.dll)로 위장하고 있는 것을 확인할 수 있습니다.
아래는 감염된 파일과 원본간의 비교입니다.
이런 악성코드를 예방하려면 윈도우를 비롯한 IE, Office 등의 보안 패치와 JAVA 업데이트를 항상 하셔야하며, 추가적으로 Adobe사의 플래쉬, PDF Viewer 등도 함께 업데이트하셔야 합니다. 또한 크롬, 파이어폭스 등 웹브라우저를 비롯하여 사용하시는 모든 프로그램들을 항상 최신 버전으로 유지하시는 것도 중요합니다. 자주 이용되는 것은 아니지만, IE나 플래쉬 취약점외에도 다양한 취약점 공격이 행하여 집니다.
마지막으로 사용하고 있는 안티 바이러스를 항상 최신 버전으로 유지하며, 실시간 감시를 무슨 일이 있더라도 항상 활성화하여 유지하는 것이 중요합니다.
오늘 운이 나빠서 pgr이나 다른 사이트에 접속하여 위와 같은 악성코드에 감염이 되셨다면 관련글의 링크를 참고하셔서 수정하신 수, 사용하시는 안티 바이러스를 이용하여 시스템을 전체 검사하시기 바랍니다. 관련글의 내용과 다소 다른 부분이 있지만, 기본적으로는 동일한 형태를 갖추고 있어 수정하시는데 큰 문제는 없습니다.
주말만 되면 이 문제로 질문글이 많이 올라오고 걱정하시는 분들이 많아서, 간략하게나마 작성해봤습니다. 도움이 되었길 바랍니다.
- 이상입니다.
'▶ 보안 관련 정보 및 팁' 카테고리의 다른 글
| Duqu 관련 최신 윈도우 취약점 보안 패치 안내 (CVE-2010-1883) - 수정 (2) | 2011/11/05 |
|---|---|
| Duqu 실행에 사용된 최신 윈도우 취약점 공격(Zero day Attack) 임시 패치 방법 (0) | 2011/11/04 |
| 취약점 공격을 통한 ws2help.dll 시스템 파일 패치 악성코드 (2011.10.29) (4) | 2011/10/29 |
| 코모도의 새로운 시스템 관리 도구 - Kill Switch (2) | 2011/10/17 |
| 가상 PC 프로그램 VirtualBox의 이미지 복사 기능 (8) | 2011/10/15 |
| 비트디펜더 (Bitdefender) 삭제 팁 (전용 삭제 프로그램) (2) | 2011/10/09 |
트랙백 주소 :: http://arrestlove.tistory.com/trackback/529
-
Subject: ws2help.dll 시스템 파일을 패치하는 온라인 게임 계정 탈취 악성코드 (2011.6.19)
Tracked from 울지않는벌새 : Security, Movie & Society 2011/10/29 11:20 삭제최근 주말을 중심으로 이루어지는 국내 인터넷 사이트 변조를 통한 악성코드 유포는 감염시 정상적인 시스템 파일을 패치하는 방식을 통해 꾸준하게 이루어지고 있습니다. lpk.dll 시스템 파일을 패치하는 악성코드 자동 감염 주의 (2011.6.12) 대표적으로 imm32.dll, lpk.dll 시스템 파일 패치가 많은 것으로 보이며, 감염시 인터넷을 이용하는 과정에서 웹 브라우저가 죽는 현상과 국내 보안 제품(V3, 알약)의 동작을 방해하는 현상이 있습..
-
Subject: [정상파일변조] 변조된 사이트를 이용한 정상파일(ws2help.dll)을 수정하는 악성파일 주의!!
Tracked from 처리의 블로그 2011/10/29 17:11 삭제최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 이번 내용은 이슈는 아니다. 하지만, 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 기록용으로 포스팅을 한다. 여기서 가장 중요한 사항은 윈도우취약점과 Adobe 취약점으로 감염되기 때문에 꼭 업데이트를 해야한다. Microsoft 보안업데이트(2011년06월15일) [Adobe]Security update available for..
-
Subject: [주의]ws2help.dll 변장형 악성파일, 돌연변이로 재탄생?
Tracked from 잉카인터넷 대응팀 공식 블로그 2012/01/05 09:52 삭제1. 개요 잉카인터넷 시큐리티 대응센터 대응팀에서는 최근 ws2help.dll 정상 시스템 파일을 교체(위장)하는 형태의 악성파일과 관련해서 변종간 다중 감염이 이뤄질 경우 돌연변이(Mutation) 현상이..
-
Subject: 악성코드가 이용하는 취약점 패치 ( flash player / Java ) 권고
Tracked from ASEC Threat Research & Response blog 2012/01/05 19:58 삭제■ 개 요 최근 다수의 웹페이지에 삽입된 악성스크립트로 인해 온라인게임계정을 탈취하는 Onlinegamehack 류의 악성코드에 감염되는 현상이 급증하고 있습니다. 현재 유포 중인 온라인게임핵류 ..
댓글을 달아 주세요
제 컴퓨터는 HaoZipUI 로 위장해 있더군요
haozipui.dll은 haozip이라는 외국 압축 프로그램에서 사용하는 라이브러리 파일이긴한데...
안녕하세요 ㅠ
제가 위방법중에 파일바꾼다음 재부팅을했는데..무한재부팅이되요 ㅠ 다른파일은 안만졌는데 ㅠ ㅠ 왜그럴까요 ㅠ?
음.. 며칠 사이에 벌써 패치를 시키는 악성코드가 바뀌어, 현재는 복구 방법이 다릅니다.
일단 위 제목에 적힌 날짜 전후로 파일이 변경되었다 가정을 하면 원본을 정확하게 바꾸셨어야 하는데 과정 중에 실수를 하신 것이 아닌가 싶습니다. 안전 모드를 통해서 다시 복구를 시도해 보세요.