1. 개 요
잉카인터넷 시큐리티 대응센터에서는 이러한 변종의 악성파일 증가의 위협을 고려함과 동시에 사전 원천 방어를 목표로 최근까지 유포되었던 악성파일을 정밀 비교 분석하여 유사 기능을 보유한 신/변종들을 ▶추가 패턴 업데이트 없이 사전에 포괄적으로 탐지하고 치료할 수 있는"GD(Generic Detection)" 기능을 제공]하고 있어 ▶별도의 전용백신을 사용하지 않아도, nProtect 제품 사용자들은 이번 부팅 불가 장애가 발생하는 악성파일을 사전에 예방할 수 있으며, 관련 진단명은 아래와 같다.
◎ Trojan/W32.Forwarded.Gen
2. 감염 경로 및 증상
위와 같은 악성 파일들은 주로 웹 하드 사이트, 유명 소셜커머스 사이트, 인터넷 뉴스 사이트 등 사용자가 많은 곳에서 집중적으로 유포되고 있으며 Adobe Flash Player 취약점, MS OS 취약점 등을 사용해 지속적으로 감염 확산 범위를 넓혀가고 있다.
해당 악성파일은 정상적인 웹 사이트를 해킹하여, 웹 관리자 몰래 삽입된 악성 스크립트를 시작으로 다양한 취약점이 복합적으로 사용되며, 최종적으로 국내외 유명 온라인 게임 사용자들의 계정 탈취 기능을 보유한 악성파일의 다운로드 및 실행을 시도하는 방식의 감염 형태를 보이고 있다.
최근에 유포된 악성파일에 감염 시 악성파일의 비정상적인 작동에 의하여 아래와 같은 부작용이 발생할 수 있다.
아래의 그림은 해당 악성파일 유포에 사용되었던 악성 스크립트 코드 및 SWF 파일 내부의 코드이다.
▣ 기존과 동일한 감염 증상
■ 악성 SWF 파일 및 스크립트 내부 코드
위 그림을 살펴보면 해당 악성파일이 CVE-2011-2110 취약점을 사용한 것을 확인할 수 있으며, 최종적으로 아래와 같은 악성파일을 다운로드하게 된다.
위와 같은 악성파일이 다운로드된 후 실행되어 감염이 이루어지면 아래의 그림과 같은 악성파일을 생성하며, 해당 악성파일은 실제로 특정 온라인 게임 계정 정보를 탈취할 수 있는 악성파일을 생성하게 된다.
위에서 설명한 생성 파일들은 정상파일을 포함하고 있으며, 아래의 그림을 참고하면 좀 더 이해가 쉬울 것이다.
ws2help.dll 파일이 정상적인 윈도우 시스템 파일명이다. 위 그림을 살펴보면 알 수 있듯이 악성파일이 정상 파일을 ws3help.dll로 파일명을 변경한 후 자신이 정상 파일명을 도용해서 사용하고 있다.
▣ BSOD 발생, 무한 재부팅 반복 증상
위에서 설명한 일종의 감염 과정을 거치게 되면 특정 온라인 게임 계정 정보를 탈취할 수 있는 악성파일에 최종적으로 감염될 수 있다.
다만, 이번에 발견된 변종의 경우 감염 과정이 위와 같이 모두 완료된 후 재부팅을 시도하게 되면 아래의 그림과 같은 블루스크린 화면을 보여줄 수 있다.
또한, 해당 블루스크린 화면이 출력되면 메모리 로드 과정 중 무한 재부팅 과정이 반복될 수 있으며, 해당 블루스크린 화면 또한 지속적으로 출력될 수 있다.
3. 예방 조치 과정
위와 같은 악성파일은 이미 여러차례 지난 글들을 통해 넓은 감염 범위, 다양한 피해 사례 발생(온라인 게임 계정 정보 탈취, 인터넷 뱅킹 사용시 간헐적 브라우저 종료 현상)등을 언급한 바 있다. 하지만 이번에 발견된 변종의 경우 감염되면 사용자들의 PC가 정상적인 부팅이 어렵게 되어 자칫 PC사용불가 등의 치명적인 피해 사례를 유발할 수 있다.
다만, nProtect 제품군에서는 상단의 글에서 언급했던 바와 같이 "2011-06-23.01 패턴 버전"을 통해 이와 같은 종류의 악성파일들을 신종/변종에 상관없이 모두 진단/치료가 가능한 "Generic 진단/치료 기법"을 엔진에 탑재하여 배포하고 있다.
기존의 nProtect 제품군을 이용하던 사용자들은 최신 엔진 및 패턴 버전(2011-07-05.01) 업데이트만으로도 위와 같은 악성파일 감염으로 부터 안전할 수 있으니 반드시 최신 엔진 및 패턴 버전을 유지할 수 있도록 하자.
물론 해당 악성파일에 미리 대처하지 못해 감염되었다고 해도 포멧 등의 극단적인 방법으로 PC를 정상적으로 복구할 필요는 없다. 만일 해당 악성파일에 감염된 PC가 있을 경우 아래의 복구 방법을 참고하여 정상 사용이 가능한 상태로 복구할 수 있도록 하자.
▣ 감염 후 복원 방법
1. 복구를 위해서는 Windows 설치 CD가 필요하다. Windows 설치 CD를 CD-ROM에 삽입한 후 재부팅을 하면 "Press any key to boot from CD..."와 같은 메시지가 화면에 출력된다. Enter Key를 입력한다.
2. 아래의 그림 처럼 "Windows 설치를 복구하려면, <R>키를 누르십시오." 와 같은 메세지 화면이 출력되면 <R> 키를 입력한다.
3. 복구콘솔 화면으로 진입하게 되면 아래의 그림과 같은 화면이 출력된다.
먼저, 로그온할 Windows 설치 선택 부분에 "1" 을 선택한 후 Enter Key를 누른다. Administrator 암호가 설정되어 있을 경우 해당 암호를 입력하고, 암호가 없을 경우 Enter Key를 누른다.
4. 아래의 명령어를 순서대로 입력한다.
5. 위와 같은 방법을 진행한 이후 다시 시스템 재부팅을 진행하도록 한다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일을 신종 및 변종에 상관 없이 모두 치료가 가능한 Generic 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
오래 전부터 온라인 게임 계정 탈취 목적의 악성파일이 주말을 이용해 대대적으로 유포되고 있다. 이러한 악성파일 중 감염이 되면 정상적으로 부팅이 진행되지 않는 심각한 피해 증상을 유발하는 종류의 악성파일(ws2help.dll 변조)이 최근 발견되어 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일은 접속자가 많은 웹 하드 사이트 등을 주요 유포 경로로 사용함과 동시에 다양한 웹 사이트를 변조하여 악성파일 유포 경로로 악용하고 있어 지속적인 대단위 감염 전파도를 보이고 있다.
[주의]Melon Player로 위장한 악성파일 유포중
☞ http://erteam.nprotect.com/174
[주의]윈도우 시스템 파일을 교체하는 악성파일 변종 증가
☞ http://erteam.nprotect.com/173
[주의]국내 소셜커머스 웹 사이트 변조로 악성파일 다량 전파
☞ http://erteam.nprotect.com/170
☞ http://erteam.nprotect.com/174
[주의]윈도우 시스템 파일을 교체하는 악성파일 변종 증가
☞ http://erteam.nprotect.com/173
[주의]국내 소셜커머스 웹 사이트 변조로 악성파일 다량 전파
☞ http://erteam.nprotect.com/170
잉카인터넷 시큐리티 대응센터에서는 이러한 변종의 악성파일 증가의 위협을 고려함과 동시에 사전 원천 방어를 목표로 최근까지 유포되었던 악성파일을 정밀 비교 분석하여 유사 기능을 보유한 신/변종들을 ▶추가 패턴 업데이트 없이 사전에 포괄적으로 탐지하고 치료할 수 있는"GD(Generic Detection)" 기능을 제공]하고 있어 ▶별도의 전용백신을 사용하지 않아도, nProtect 제품 사용자들은 이번 부팅 불가 장애가 발생하는 악성파일을 사전에 예방할 수 있으며, 관련 진단명은 아래와 같다.
◎ Trojan/W32.Forwarded.Gen
2. 감염 경로 및 증상
위와 같은 악성 파일들은 주로 웹 하드 사이트, 유명 소셜커머스 사이트, 인터넷 뉴스 사이트 등 사용자가 많은 곳에서 집중적으로 유포되고 있으며 Adobe Flash Player 취약점, MS OS 취약점 등을 사용해 지속적으로 감염 확산 범위를 넓혀가고 있다.
해당 악성파일은 정상적인 웹 사이트를 해킹하여, 웹 관리자 몰래 삽입된 악성 스크립트를 시작으로 다양한 취약점이 복합적으로 사용되며, 최종적으로 국내외 유명 온라인 게임 사용자들의 계정 탈취 기능을 보유한 악성파일의 다운로드 및 실행을 시도하는 방식의 감염 형태를 보이고 있다.
최근에 유포된 악성파일에 감염 시 악성파일의 비정상적인 작동에 의하여 아래와 같은 부작용이 발생할 수 있다.
a. 인터넷 익스플로러 강제 종료 현상 (인터넷 뱅킹 사용 불편)
b. 컴퓨터 실행 속도의 저하
c. 블루 스크린(BSOD) 발생
d. 무한 재부팅 현상 발생
e. 안전모드 부팅 불가
b. 컴퓨터 실행 속도의 저하
c. 블루 스크린(BSOD) 발생
d. 무한 재부팅 현상 발생
e. 안전모드 부팅 불가
아래의 그림은 해당 악성파일 유포에 사용되었던 악성 스크립트 코드 및 SWF 파일 내부의 코드이다.
▣ 기존과 동일한 감염 증상
■ 악성 SWF 파일 및 스크립트 내부 코드
위 그림을 살펴보면 해당 악성파일이 CVE-2011-2110 취약점을 사용한 것을 확인할 수 있으며, 최종적으로 아래와 같은 악성파일을 다운로드하게 된다.
위와 같은 악성파일이 다운로드된 후 실행되어 감염이 이루어지면 아래의 그림과 같은 악성파일을 생성하며, 해당 악성파일은 실제로 특정 온라인 게임 계정 정보를 탈취할 수 있는 악성파일을 생성하게 된다.
※ 생성 파일
- (윈도우 시스템 폴더)\ws2help.dll (33,611,784 바이트, 악성파일)
- (윈도우 시스템 폴더)\ws3help.dll (19,968 바이트, 정상파일)
- (윈도우 시스템 폴더)\(년월일시분초).dll (19,968 바이트, 정상파일)
- (윈도우 시스템 폴더)\ws2help.dll (33,611,784 바이트, 악성파일)
- (윈도우 시스템 폴더)\ws3help.dll (19,968 바이트, 정상파일)
- (윈도우 시스템 폴더)\(년월일시분초).dll (19,968 바이트, 정상파일)
위에서 설명한 생성 파일들은 정상파일을 포함하고 있으며, 아래의 그림을 참고하면 좀 더 이해가 쉬울 것이다.
ws2help.dll 파일이 정상적인 윈도우 시스템 파일명이다. 위 그림을 살펴보면 알 수 있듯이 악성파일이 정상 파일을 ws3help.dll로 파일명을 변경한 후 자신이 정상 파일명을 도용해서 사용하고 있다.
▣ BSOD 발생, 무한 재부팅 반복 증상
위에서 설명한 일종의 감염 과정을 거치게 되면 특정 온라인 게임 계정 정보를 탈취할 수 있는 악성파일에 최종적으로 감염될 수 있다.
다만, 이번에 발견된 변종의 경우 감염 과정이 위와 같이 모두 완료된 후 재부팅을 시도하게 되면 아래의 그림과 같은 블루스크린 화면을 보여줄 수 있다.
또한, 해당 블루스크린 화면이 출력되면 메모리 로드 과정 중 무한 재부팅 과정이 반복될 수 있으며, 해당 블루스크린 화면 또한 지속적으로 출력될 수 있다.
3. 예방 조치 과정
위와 같은 악성파일은 이미 여러차례 지난 글들을 통해 넓은 감염 범위, 다양한 피해 사례 발생(온라인 게임 계정 정보 탈취, 인터넷 뱅킹 사용시 간헐적 브라우저 종료 현상)등을 언급한 바 있다. 하지만 이번에 발견된 변종의 경우 감염되면 사용자들의 PC가 정상적인 부팅이 어렵게 되어 자칫 PC사용불가 등의 치명적인 피해 사례를 유발할 수 있다.
다만, nProtect 제품군에서는 상단의 글에서 언급했던 바와 같이 "2011-06-23.01 패턴 버전"을 통해 이와 같은 종류의 악성파일들을 신종/변종에 상관없이 모두 진단/치료가 가능한 "Generic 진단/치료 기법"을 엔진에 탑재하여 배포하고 있다.
기존의 nProtect 제품군을 이용하던 사용자들은 최신 엔진 및 패턴 버전(2011-07-05.01) 업데이트만으로도 위와 같은 악성파일 감염으로 부터 안전할 수 있으니 반드시 최신 엔진 및 패턴 버전을 유지할 수 있도록 하자.
물론 해당 악성파일에 미리 대처하지 못해 감염되었다고 해도 포멧 등의 극단적인 방법으로 PC를 정상적으로 복구할 필요는 없다. 만일 해당 악성파일에 감염된 PC가 있을 경우 아래의 복구 방법을 참고하여 정상 사용이 가능한 상태로 복구할 수 있도록 하자.
▣ 감염 후 복원 방법
1. 복구를 위해서는 Windows 설치 CD가 필요하다. Windows 설치 CD를 CD-ROM에 삽입한 후 재부팅을 하면 "Press any key to boot from CD..."와 같은 메시지가 화면에 출력된다. Enter Key를 입력한다.
2. 아래의 그림 처럼 "Windows 설치를 복구하려면, <R>키를 누르십시오." 와 같은 메세지 화면이 출력되면 <R> 키를 입력한다.
3. 복구콘솔 화면으로 진입하게 되면 아래의 그림과 같은 화면이 출력된다.
먼저, 로그온할 Windows 설치 선택 부분에 "1" 을 선택한 후 Enter Key를 누른다. Administrator 암호가 설정되어 있을 경우 해당 암호를 입력하고, 암호가 없을 경우 Enter Key를 누른다.
4. 아래의 명령어를 순서대로 입력한다.
※ 입력 명령어
- "del ws2help.dll" (악성파일 삭제)
- "ren ws3help.dll ws2help.dll" (정상파일의 파일명을 원래대로 복원)
- "exit" (종료)
- "del ws2help.dll" (악성파일 삭제)
- "ren ws3help.dll ws2help.dll" (정상파일의 파일명을 원래대로 복원)
- "exit" (종료)
5. 위와 같은 방법을 진행한 이후 다시 시스템 재부팅을 진행하도록 한다.
악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
※ 보안 관리 수칙
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 위와 같은 악성파일에 대해 신종 및 변종 모두 진단/치료가 가능한 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 위와 같은 악성파일에 대해 신종 및 변종 모두 진단/치료가 가능한 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일을 신종 및 변종에 상관 없이 모두 치료가 가능한 Generic 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| [주의]중국의 Video Browser 형태로 위장한 Android용 악성파일 발견 (0) | 2011.07.18 |
|---|---|
| [주의]한글 문서(HWP)취약점을 이용한 악성파일 발견 (2) | 2011.07.05 |
| [주의]Melon Player로 위장한 악성파일 유포중 (1) | 2011.06.30 |
| [주의]윈도우 시스템 파일을 교체하는 악성파일 변종 증가 (0) | 2011.06.20 |
| [주의]국내 소셜커머스 웹 사이트 변조로 악성파일 다량 전파 (0) | 2011.06.15 |