분석 정보/악성코드 분석 정보

[주의]ws2help.dll 변장형 악성파일, 돌연변이로 재탄생?

TACHYON & ISARC 2012. 1. 4. 17:11
1. 개요


잉카인터넷 시큐리티 대응센터 대응팀에서는 최근 ws2help.dll 정상 시스템 파일을 교체(위장)하는 형태의 악성파일과 관련해서 변종간 다중 감염이 이뤄질 경우 돌연변이(Mutation) 현상이 발생하고 있는 것을 발견하였고, 이러한 현상으로 인해서 일부 악성파일만이 삭제될 경우 윈도우 운영체제의 부팅이 정상적으로 진행되지 못하는 치명적인 피해를 입을 수 있는 매우 위험한 상태가 존재하는 것을 확인하였다. 따라서 악성파일에 중복감염이 되어서 예기치 못한 피해를 입지 않도록 각별한 주의가 필요한 상태이다. 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ws2help.dll 파일을 악성파일로 교체하는 형태는 현재 이 시간에도 국내에 집중적으로 유포가 이뤄지고 있으며, 언론사 및 유명 웹 사이트 등을 통해서 불특정 다수의 접속자에게 엄청난 양의 심각한 감염 피해를 일으키고 있는 종류로 파악되고 있다.

특히, 정상파일을 악성파일로 교묘하게 바꿔치기 하는 수법을 이용하고 있어 일반 이용자로 하여금 쉽게 발견하지 못하게 하고 있으며, 수시로 변종을 제작하고 유포하는 방법을 채택하고 있기 때문에 각별한 주의가 필요한 상태이다.

ws2help.dll 시스템 파일을 교체하는 악성파일 기승
http://erteam.nprotect.com/233

주말에 집중 유포하는 악성파일 감염시 부팅 장애 부작용 발생
http://erteam.nprotect.com/175

윈도우 시스템 파일을 교체하는 악성파일 변종 증가
http://erteam.nprotect.com/173

2. 시스템 파일 변장형 악성파일 다시 돌연변이로 재탄생!

국내의 유명 온라인 게임 계정 탈취 등의 사이버 범죄 목적으로 새로운 악성파일을 개발하고 유포하는 조직들에 의해서 2005년 경 이전부터 지속적으로 전파되고 있는 이 형태는 국내의 대형 웹 사이트들의 개인정보 유출 사고나 국가기관을 상대로 한 DDoS 공격처럼 사회적으로 이슈화되는 것과는 별개로 매우 은밀하고 꾸준히 진행되고 있는 대표적인 국내 타깃형 고정적인 보안 위협 형태라고 말할 수 있다.

수년 동안 지속적인 공격이 진행되고 있고, 새로운 보안 취약점(Zero-Day) 등이 나올 때마다 즉시 사용되는 경우가 빈번할 정도로 악성파일 유포 수법이 매우 조직화, 체계화되어 있는 사이버 범죄 집단으로 추정된다.

최근에 가장 많이 유포되고 있는 형태는 ws2help.dll 파일을 악성파일로 교묘하게 바꿔치기하여 시스템이 부팅될 때 악성파일이 자동으로 실행되도록 만든 형태이며, 이 악성파일은 본래 시스템에 존재했던 ws2help.dll 파일을 다른 파일명(ws2helpXP.dll 또는 wimedump.dll 등)으로 변경해 두고, 악성파일이 다시 정상파일을 대신 실행해 주는 방식을 채택하고 있다. [이전에는 ws3help.dll 등으로도 정상파일을 보관한 바 있어, 파일명은 지속적으로 변경될 것으로 예상된다.]

그런데 이 과정에서 ws2help.dll 로 위장하는 형태의 악성파일 변종이 수시로 출현하고 유포되면서 이용자들 컴퓨터에 유사한 변종이 복수적으로 다수 감염되어 새로운 형태의 악성파일로 변화하는 상황이 등장하게 되었다.

먼저 2012년 01월 02일 국내의 특정 언론사 홈페이지에서 유포된 악성파일에 감염되면 다음과 같은 증상이 발생하며, JAVA 취약점에 의해서 화면에 Java 사용에 대한 메시지 창이 출력될 수 있다.


a. 시스템 폴더에 wuapi.exe 파일 생성
C:\Windows\System32\wuapi.exe

b. 국내의 특정 도메인으로 접속하여 변종 악성파일 다운로드 및 설치
hxxp://115.(생략).19/files/dk/dk.exe

c. ws2help.dll (Windows Socket 2.0 Helper for Windows NT) 시스템파일을 악성파일로 교체
- 시스템 폴더에 ws2helpXP.dll 파일명으로 정상 ws2help.dll 파일을 저장 보관함.
- 시스템 폴더의 ws2help.dll 정상파일을 ws2help.dll.(임의문자).tmp 파일명으로 변경함.
- imm32.bmp 파일을 생성한 후, ws2help.dll 파일을 악성파일로 변경하고 imm32.bmp 파일은 삭제함.

※ (주의!) 악성파일에 감염되지 않은 상태의 시스템 폴더에 존재하는 ws2help.dll 파일은 정상적인 파일이므로, 임의로 삭제하면 절대 안됨! 

 


정상적인 시스템 파일인 ws2help.dll 파일이 악성파일로 교체되었기 때문에 시스템이 재부팅되면 악성 ws2help.dll 파일이 자동으로 실행되고, 악성 ws2help.dll 파일은 다시 정상파일인 ws2helpXP.dll 파일을 실행해 주기 때문에 정상적으로 부팅이 진행된다.


상기 과정까지가 1차 감염된 조건이며, 이 상태에서 사용자가 또 다른 ws2help.dll 교체형 악성파일 유포 웹 사이트에 접근하여 유사 계열의 악성파일에 추가로 중복 감염이 이뤄지면 다음과 같이 ws2help.dll 로딩 조건이 변경된다.

ws2help.dll 정상파일을 악성파일로 변경하는 형태는 대표적으로 다음과 같은 2가지 형태로 정상파일을 보관한다.

① ws2helpXP.dll
② wimedump.dll

그런데 두번째 감염되는 형태가 wimedump.dll 형태일 경우에는 다음과 같이 돌연변이 현상이 발생하게된다.

악성파일은 시스템 폴더에 존재하는 ws2help.dll 파일이 악성이라는 것을 알지 못하고, 정상파일로 판단하여 wimedump.dll 파일로 백업 보관한다. 따라서 악성을 악성으로 추가 보관하게 되는 것이다.

그리고 ws2help.dll 파일명으로 또 다른 악성파일을 생성한다. 결국 악성파일의 중복 다중 감염현상으로 인해서 기존의 감염 조건이 변경된다. 


이 때문에 정상적인 부팅이 진행되기 위해서는 처음 악성파일에 감염될 때 백업 보관된 ws2helpXP.dll 파일이 로딩되어야 하는 절차를 거쳐야 하는데, 이러한 다중 감염 현상에서는 다행히도 다음과 같은 로딩을 통해서 부팅 장애는 발생되지 않는다.

만약에 사용자 컴퓨터에 두번째 악성파일이 먼저 실행된 조건이라면 wimedump.dll 파일이 정상적인 ws2help.dll 파일을 백업하는 형태이며, 다른 악성파일 조건으로 인해서 중복 감염 현상은 발생하지 않는다. 최근 악성파일 제작자는 중복 감염 방지 및 버전체크 등을 위해서 version.dat, winurl.dat 파일 등을 생성해 두고 있기도 하다. 아마도 중복 감염현상에 대한 오류를 최소화하고자 하는 것으로 추정된다.


상기와 같이 중복 감염이 진행되면 악성파일은 원래의 감염 구조와는 다르게 다음과 같이 변경된다. Anti-Virus 제품이든 사용자가 수동이든 악성파일을 1개 이상 삭제하고, ws2helpXP.dll 파일을 본래 정상 파일명이던 ws2help.dll 파일로 변경한 후 부팅하지 않으면 윈도우 운영체제는 반복적으로 부팅 시도만 할 뿐 정상 부팅이 불가능해 지는 피해를 입게 된다.


Anti-Virus 제품을 이용해서 악성파일이 일부만 실시간 감시에서 진단되어 재부팅하거나, Anti-Virus 제품이 이러한 악성파일을 탐지하고 백업되어 있던 ws2helpXP.dll 파일을 정상적인 ws2help.dll 파일명으로 교체해 주지 않으면 시스템은 악성파일을 제거하고 오히려 더 큰 부작용이 발생하게 될 수도 있다.

2가지 유사 악성파일이 중복 감염되면서 의도하지 않은 방식으로 악성파일이 백업되고, 이 과정에서 돌연변이와 같은 현상이 발생하게 되기 때문에 Anti-Virus 제품들은 이러한 현상을 대비하여 치료 기술을 도입해야 부팅불가라는 큰 피해를 사전에 예방할 수 있을 것으로 보여진다.

3. 감염 사전 예방법 (매우 중요)

ws2help.dll 교체형 악성파일은 현재 국내의 특정 웹 사이트 등을 통해서 불특정 다수에서 지속적으로 유포 중이며, 대표적으로 다음과 같은 보안 취약점을 이용하고 있다. 따라서 최신 보안 업데이트만으로도 다량의 변종 유입을 사전에 차단할 수 있다.

플래시 플레이어와 자바 취약점을 악용하여 전파 중이므로, 최신 보안 업데이트를 반드시 설치하도록 하며, 윈도우 운영체제 및 사용중인 응용 프로그램(Office, PDF 등) 들도 최신 서비스팩 및 보안 업데이트를 유지하는 것이 필수이다.


잉카인터넷 시큐리티 대응센터에서는 이러한 변종의 악성파일 증가의 위협을 고려함과 동시에 사전 원천 방어를 목표로 최근까지 유포되었던 악성파일을 정밀 비교 분석하여 유사 기능을 보유한 신/변종들을 ▶추가 패턴 업데이트 없이 사전에 포괄적으로 탐지하고 치료할 수 있는"GD(Generic Detection)" 기능을 제공하고 있어 ▶별도의 전용백신을 사용하지 않아도, nProtect 제품 사용자들은 다양한 변종에 대해서 악성파일을 사전에 예방할 수 있도록 하고 있다.

◎ Trojan/W32.Forwarded.Gen

nProtect Anti-Virus/Spyware 3.0 다운로드 ▶▷ ☞ http://avs.nprotect.com/


4. 제거 방법

독립적인 악성파일의 정상적인 감염 증상이 또 다른 악성파일로 인해서 로딩 프로세스가 변경되는 이러한 경우를 사전에 모두 파악하기는 현실적으로 제약사항이 많을 수 있다.

하지만, 악성파일이 최종적으로 정상적인 ws2help.dll 파일을 실행해 주어야만 정상 부팅이 가능하다는 점에서 악성파일은 감염시 꼭 정상파일을 다른 파일명으로 백업 보관하고 있다는 점을 이용하면 된다.

가장 최근에 발견되는 형태들은 위에서도 언급한 바와 같이 ws2helpXP.dll 파일명과 wimedump.dll 파일명으로 원래 정상 시스템 파일인 ws2help.dll 파일을 보관해 둔다.

한글 윈도우XP SP3 의 경우 ws2help.dll 의 파일 크기와 속성은 다음과 같으므로, 약 20Kb 정도의 파일이 정상적인 파일이라는 것을 육안으로 쉽게 비교해 볼 수도 있으며, 버전 5.1.2600.5512 파일의 MD5 Hash 값은 다음과 같다.

ws2help.dll (버전 : 5.1.2600.5512)
MD5 : 90affacb3c4f110ba63df2be93f2e41a



시스템 폴더(System32)에 ws2helpXP.dll 파일이나 wimedump.dll 파일이 존재한다면 이러한 악성파일에 감염되어 있는 확률이 매우 높으므로, 최신 nProtect Anti-Virus 제품을 설치하여 업데이트하고 전체 검사를 통해서 치료를 시도해 보는 것이 중요하다.

숨김 파일 및 확장명 숨기기 기능은 다음과 같이 폴더 옵션을 통해서 변경이 가능하다.


▣ 최신 nProtect Anti-Virus 제품으로 전체 검사를 수행하고 발견된 악성파일을 치료 시도해 본다. (권장 방법)

ㄱ. C:\WINDOWS\system32\wimedump.dll 파일이나 ws2helpXP.dll 파일을 C:\WINDOWS\system32\dllcache 폴더에 복사한다.

ㄴ. C:\WINDOWS\system32\dllcache\ws2help.dll 파일을 삭제한다.

ㄷ. C:\WINDOWS\system32\dllcache\wimedump.dll 파일이나 ws2helpXP.dll 파일을 ws2help.dll 파일로 이름을 변경한다.

ㄹ. C:\WINDOWS\system32\ws2help.dll 파일의 확장자를 변경한다. (예: ws2help.dxx)

ㅁ. ws2help.dll 파일의 확장자를 변경하는 경우 윈도우 파일 보호 기능(WFP)으로 인해서 자동으로 dllcache 폴더에 생성한 파일을 복원하므로, ws2help.dll 정상 파일이 생성되었는지 확인한다.

ㅂ. C:\WINDOWS\system32\ws2help.dll 파일이 정상적인 것인지 확인한다. (예: 파일크기 및 MD5 비교)

ㅅ. 재부팅하여 부팅 과정이 정상적인지 여부를 파악한다.


5. ws2help.dll 파일 변조 및 시스템 파일 로딩 불가로 인한 부팅장애 복구법

Windows XP 시동 디스크나 Windows XP 설치 CD를 이용해 명령 모드로 부팅한 뒤 ws2helpXP.dll 또는 wimedump.dll 파일을 원래의 파일명인 ws2help.dll로 변경하면 정상적인 부팅이 가능하다.

◆ 복구 절차

1) Windows XP 시동 디스크 또는 Windows XP 설치 CD를 드라이브에 넣고 컴퓨터를 다시 시작한다.

2) CD를 넣은 경우, 부팅 중에 Press any key to boot from CD.. 라는 메시지가 나타난다. 이 메시지가 사라지기 전에 Enter 키를 누른다.


3) 아래의 그림 처럼 "Windows 설치를 복구하려면, <R>키를 누르십시오." 와 같은 메세지 화면이 출력되면 <R> 키를 입력한다.


4) 복구콘솔 화면으로 진입하게 되면 아래의 그림과 같은 화면이 출력된다. 복구할 윈도우의 번호를 입력한 후, 관리자 암호를 입력하라는 메시지가 나타나면 관리자 암호를 입력한다. 관리자 암호가 없으면 Enter 키를 누른다.


5) 아래의 명령어를 순서대로 입력한다.
① [cd system32] 를 입력하여 명령위치를 시스템폴더로 이동한다.
② [del ws2help.dll] 을 입력하여 악성파일을 삭제한다.
③ [ren ws2helpXP.dll ws2help.dll]을 입력하면 변경된 시스템 파일의 파일명이 정상으로 복원된다.
④ 위 ③번 진행 시 파일이 없다고 나오면 [ren wimedump.dll ws2help.dll]을 입력한다.
⑤ [exit] 를 입력하여 시스템을 종료합니다.

6) 위와 같은 방법을 진행한 이후 다시 시스템 재부팅을 진행하도록 한다.

악성파일에 감염되어 치료를 진행하는 것은 이미 사용자의 입장에서는 어느정도 감염 피해를 입은 후 조치하는 후속 절차 이다. 이와 같이 원치 않는 피해 발생으로 부터 안전하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 위와 같은 악성파일에 대해 신종 및 변종 모두 진단/치료가 가능한 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일을 치료가 가능한 Generic 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.