분석 정보/악성코드 분석 정보

[주의]ws2help.dll 시스템 파일을 교체하는 악성파일 기승

TACHYON & ISARC 2012. 1. 2. 15:08

1. 개 요  

잉카인터넷 대응팀은 2012년 1월 1일부터 ws2help.dll 파일을 악성파일로 변경하는 형태를 다수 발견하였다. 악의적인 해커들은 주말에 집중적으로 국내 특정 온라인 게임 이용자들의 계정 정보 탈취를 목적으로 새로운 악성파일을 지속적으로 유포하고 있다. 정상적인 시스템 파일을 악성파일로 교체하고, 일부 Anti-Virus 제품들의 정상적인 사용 등을 방해하며, 특히 "Flash Player 와 JAVA 취약점 등을 이용하여 최신 업데이트를 하지 않은 사용자를 대상으로 악성파일을 지속적으로 유포" 하고 있어 각별한 주의가 필요하다.

  

2012년 1월에도 Windows OS의 주요 시스템 파일을 변경하거나 교체하는 형태의 Patched Type 악성파일이 지속적으로 국내에 전파되고 있으며 특히, 시스템에 존재하는 ws2help.dll 파일을 악성파일로 교체시키는 형태가 기승을 부리고 있어 어느때 보다 보안에 많은 관심이 필요하다.

잉카인터넷 시큐리티 대응센터 대응팀은 2012년 새해부터 ws2help.dll 파일을 악성파일로 교체하는 형태가 국내의 인터넷 뉴스, 웹하드 사이트 등에서 다수 전파되고 있는 상황을 발견한 상태이다.


잉카인터넷 시큐리티 대응센터에서는 이러한 변종의 악성파일 증가의 위협을 고려함과 동시에 사전 원천 방어를 목표로 최근까지 유포되었던 악성파일을 정밀 비교 분석하여 유사 기능을 보유한 신/변종들을 ▶추가 패턴 업데이트 없이 사전에 포괄적으로 탐지하고 치료할 수 있는"GD(Generic Detection)" 기능을 제공하고 있어 ▶별도의 전용백신을 사용하지 않아도, nProtect 제품 사용자들은 다양한 변종에 대해서 악성파일을 사전에 예방할 수 있도록 하고 있다.

◎ Trojan/W32.Forwarded.Gen

악성파일 제작자들은 이러한 Anti-Virus 제품들로 부터 탐지 우회를 목적으로 지속적으로 변형화하고 있으며, 잉카인터넷 시큐리티 대응센터에서도 지속적으로 일괄 탐지 및 치료 기술을 업그레이드 하고 있다.



2. 감염 사례 및 증상

2011년 2월과 3월 경에 다수 발견된 바 있는 imm32.dll 정상 시스템 파일을 악성파일로 교체(Patched)하는 형태는 정상 imm32.dll 시스템 파일의 Export 함수 모두를 Forwarded Name RVA 하여 실행하는 대표적인 형태였으며, 이후에는 Export 함수에 Push -> Call 명령 호출 수행을 통해서 Sub 루틴에서 파일명을 변경한 정상파일을 로딩시키는 형태로 구성된 종류도 발견된 바 있다.

이처럼 시스템 DLL 파일을 Patched 한 형태가 유행처럼 지속화되고 있으며, 일부 악성파일은 제작 과정에서 자신의 분석을 방해하기 위해서 사용하는 Anti-Debugging 기법에서 의도하지 않은 Exception 현상이 유발되고, 이 처리 과정에서 블루스크린(BSOD) 현상 등이 발생하여 사용자에게 큰 피해 부작용을 발생시키기도 한 바 있다.

아래 이미지는 ws2help.dll 의 Export Address Table 함수를 이용해서 ws3help.dll 파일을 Forwarded 하는 형태이다.


Anti-Virus 제품은 악성파일로 교체된 ws2help.dll 파일 등을 치료할 때는 반드시 정상 시스템 파일이 재부팅 시 로딩될 수 있도록 파일명 등을 정상적으로 교체해 주어야 한다. 만약 교체된 악성파일만 삭제하는 경우에는 재부팅이 정상적으로 진행되지 않는 경우나 인터넷 접속이 불가능한 피해 등이 발생할 수 있다.

이러한 악성파일들은 현재 국내 일부 언론사 사이트, 웹하드 사이트, 소셜커머스사이트, 인터넷 커뮤니티 등에서 주말에 집중되어 다양한 취약점을 이용해서 유포가 진행되고 있는 상황이다.

특히, 자바(JAVA) 취약점을 이용해서 유포하는 경우가 증가하고 있으므로, 최신 업데이트를 적용하는 노력이 절실하다.



3. 예방 조치 과정

위와 같은 악성파일은 이미 여러차례 지난 글들을 통해 넓은 감염 범위, 다양한 피해 사례 발생(온라인 게임 계정 정보 탈취, 인터넷 뱅킹 사용시 간헐적 브라우저 종료 현상)등을 언급한 바 있다.

다만, nProtect 제품군에서는 상단의 글에서 언급했던 바와 같이 "2011-06-23.01 패턴 버전"을 통해 이와 같은 종류의 악성파일들을 신종/변종에 상관없이 모두 진단/치료가 가능한 "Generic 진단/치료 기법"을 엔진에 탑재하여 배포하고 있으며, 변종에 대한 대응도 지속적으로 업그레이드 중이다.

또한, 악성파일 유포에 자주 사용되는 Flash Player 취약점, JAVA(JRE) 취약점을 보완하기 위해서 항상 최신 버전을 설치하고 사용하도록 한다. 


악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 위와 같은 악성파일에 대해 신종 및 변종 모두 진단/치료가 가능한 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일을 신종 및 변종에 상관 없이 모두 치료가 가능한 Generic 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.