PGR21.com
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
Date 2011/10/29 10:36:30
Name 물여우
Subject [일반] [pgr 유포 악성코드] 취약점 공격을 통한 ws2help.dll 시스템 파일 패치
주말마다 유포되는 악성코드에 대해서 걱정하시는 분들이 많아서 간략하게 나마 작성해봤습니다.
블로그 글을 그대로 복사하다보니 다소 이상한 부분도 있는데 양해바랍니다.

-------------------------------------------------------------------------------
▶ 관련글

- http://hummingbird.tistory.com/3047
- http://kjcc2.tistory.com/1115
--------------------------------------------------------------------------------

또 다시 주말이 왔습니다. 주말이 되면 일상적으로 시도되는 자동화된 공격을 pgr도 당분간은 피해갈 수 없는 일이 되버린 것 같습니다. 간혹 질문글에 보안 제품의 악성코드 차단 메시지를 보고 질문하시는 분들이 있어 간단하게 이번 주에 유포되는 악성코드에 대해서 살펴보도록 하겠습니다.

※ 아마추어가 하는 것이라 빠진 부분이 여럿 있고, 틀린 부분이 있을 수 있습니다. 적당히 참고하시고 관련글의 링크를 주의깊게 읽어보시기 바랍니다.

각설하고 이번주에 pgr에 삽입된 코드는 아래와 같습니다.


관리자분들이 계속 처리를 하시고, 공격자들이 코드를 바꾸는 경우가 있으니 확실하지는 않습니다.
(09시경 유포되었던 코드)

요놈은 아래와 같은 중간 스크립트들과 최종 악성코드를 다운받게 합니다.
--------------------------------------------------------------------------------------------------------------------------
h**p://jsp.imaeil.com/p.js
┗ h**p://jsp.imaeil.com/p.html
      ┗ h**p://jsp.imaeil.com/z.html
      ┗ h**p://jsp.imaeil.com/z.js
      ┗ h**p://jsp.imaeil.com/l.html
      ┗ h**p://jsp.imaeil.com/c.html
           ┗ h**p://jsp.imaeil.com/c.swf
      ┗ h**p://jsp.imaeil.com/top.swf
      ┗ h**p://jsp.imaeil.com/ad.swf                 (Exploit.SWF.CVE-2010-2884.b : Kaspersky)

      ┗ h**p://jsp.imaeil.com/n.html                  (EXP/CVE-2010-0806.AD : AVIRA)    


-> h**p://jsp.imaeil.com/p.css -> s.exe                   (Dropper/Win32.OnlineGameHack : v3)
---------------------------------------------------------------------------------------------------------------------------
이번 공격 또한 Adobe Plash Player와 IE의 취약점을 이용해 공격합니다. 따라서 Adobe flash player 최신 버전인 11.0.1.152로 업데이트되고, IE의 최신 보안 패치가 설치된 환경에서는 악성코드가 다운/실행되지 않습니다. 취약점이 제거된 상황이거나, 안티바이러스에 의해 중간 스크립트 코드 또는 최종 악성코드가 진단, 차단될 경우 시스템 감염은 이루어지지 않습니다.

일단 취약점이 존재하고 안티 바이러스의 성능이 미비할 경우 최종 다운로드되는 악성코드는 시스템 폴더의 ws2help.dll 을 패치하여 IE와 각종 프로세스에 삽입 특정 사이트와 프로세스를 감시하게 됩니다. 감시되는 사이트와 프로세스는 주로 국내 온라인 게임들이며, 사실상 대부분의 온라인 게임 아이디와 비밀번호가 감시, 유출된다 보시면 됩니다.

---------------------------------------------------------------------------------------------------------------------------
ㆍC:\WINDOWS\system32\ws2help.dll             (Win32:OnLineGames-FZQ  : AVAST)
  - MD5 : 83fbca5de6b18f9b5a64c4e1eb832880

ㆍ원본 파일 -> C:\WINDOWS\system32\ws3help.dll
                 -> C:\WINDOWS\system32\2011(랜덤값 숫자).dll
----------------------------------------------------------------------------------------------------------------------------

아래와 같이 감연된 ws2help.dll은 모질라 재단의 파이어폭스의 파일(plds4.dll)로 위장하고 있는 것을 확인할 수 있습니다.

아래는 감염된 파일과 원본간의 비교입니다.



이런 악성코드를 예방하려면 윈도우를 비롯한 IE, Office 등의 보안 패치와 JAVA 업데이트를 항상 하셔야하며, 추가적으로 Adobe사의 플래쉬, PDF Viewer 등도 함께 업데이트하셔야 합니다. 또한 크롬, 파이어폭스 등 웹브라우저를 비롯하여 사용하시는 모든 프로그램들을 항상 최신 버전으로 유지하시는 것도 중요합니다. 자주 이용되는 것은 아니지만, IE나 플래쉬 취약점외에도 다양한 취약점 공격이 행하여 집니다.

마지막으로 사용하고 있는 안티 바이러스를 항상 최신 버전으로 유지하며, 실시간 감시를 무슨 일이 있더라도 항상 활성화하여 유지하는 것이 중요합니다.


오늘 운이 나빠서 pgr이나 다른 사이트에 접속하여 위와 같은 악성코드에 감염이 되셨다면 관련글의 링크를 참고하셔서 수정하신 수, 사용하시는 안티 바이러스를 이용하여 시스템을 전체 검사하시기 바랍니다. 관련글의 내용과 다소 다른 부분이 있지만, 기본적으로는 동일한 형태를 갖추고 있어 수정하시는데 큰 문제는 없습니다.



주말만 되면 이 문제로 질문글이 많이 올라오고 걱정하시는 분들이 많아서, 간략하게나마 작성해봤습니다. 도움이 되었길 바랍니다.


- 이상입니다.

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
통큰루미
11/10/29 11:17
수정 아이콘
그러게요.. 오늘 새벽부터 ie 는 바이러스가 잡히더군요, 크롬은 별 문제 없는것 같지만
11/10/29 11:19
수정 아이콘
v3 라이트에서는 경고가안뜨고 알약에선뜨던데 다른분들도 그러신가요?
11/10/29 11:29
수정 아이콘
아바스트가 글 하나 누를 때마다 울리는 이유가 이거였군요 @_@
멍충이
11/10/29 11:39
수정 아이콘
먼저 불편을 겪게 해드려 죄송합니다.

자세한 사항은 안정화가 된 다음에 따로 공지를 올리도록 하겠습니다.

현재 서버에서 로그를 최대한 남기게끔 설정하여, 어떤 경로로 어떻게 파일을 접근하고 수정하는지 파악한 다음 계속 막고 있는 중입니다.
기존에 업로드 된 파일들을 통하여 접근하고 있는데, 비단 php 소스 뿐만 아니라, txt, jpg 파일 등을 통해서도 해킹시도가 있습니다.
리눅스에서 grep 명령어로 불확실한 코드가 있는 부분들은 한번 걸러내는 작업을 하였으며,
그 외에 이미지 파일 및 기타 확장자를 통해서 들어오는 부분은 실시간 체크를 통해서 막고 있습니다.
(업로드된 데이터가 약 17GB 에 파일갯수는 수백만개가 되다 보니 하나하나 체크를 하지 못하고,
남겨진 로그를 통해서 대응하고 있는 중입니다.)


다시한번 즐거운 주말 아침에 불편을 겪게 해드려 죄송합니다.
달리자달리자
11/10/29 11:57
수정 아이콘
제가 컴퓨터를 잘 몰라 궁금한게 있는데, 질문을 드려도 될런지요.
지금 저는 어베스트를 쓰고 있고, PGR에 들어올때 깜빡깜빡 경고음이 나오더라고요. 그런경우는 어베스트가 악성코드를 차단하는건가요? 아니면 감염은 감염대로 되고 나서 경고를 하는건가요?

그리고, 덕분에 지금 확인했는데 다행히 20kb네요. 아직 감염은 안된듯. 그래도 잔뜩 겁먹고, 업데이트하고있습니다. 감사합니다.
헬리제의우울
11/10/29 12:08
수정 아이콘
제 ws2help.dll 은 5kb 인데...
사케행열차
11/10/29 14:51
수정 아이콘
별거 아니지만 본문에 plash를 flash로 바꿔주셔야겠네요.
Busansien
11/10/29 17:03
수정 아이콘
맥킨토시에서 접속하고 있는데, 맥킨토시의 경우에는 별다른 문제는 없는건가요?
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
32713 [일반] 어두운 밤 상념 [3] 눈시BBver.24013 11/10/31 4013 0
32711 [일반] 즐거운 월요일! 슈스케3 버스커버스커 퍼포먼스 모음 [21] 블루드래곤5604 11/10/31 5604 0
32710 [일반] 한글을 그리다 - 한글 그림 모음 [1] 김치찌개4201 11/10/31 4201 0
32707 [일반] 한미 FTA반대측 토론회 영상 [3] 호갱님3382 11/10/30 3382 0
32706 [일반] 대학교 3학년 군필자 입니다. 암담해요. [42] 가니야7888 11/10/30 7888 2
32705 [일반] 세상 살기 참 무섭네요... [38] 로즈마리12473 11/10/30 12473 0
32704 [일반] 어제 나꼼수 콘서트에서 충격적인 이야기가 나왔더군요 [67] 불쌍한오빠17699 11/10/30 17699 1
32703 [일반] 박원순 시장 당선 이후의 정치 전망 단상 [80] 삭제됨7994 11/10/30 7994 1
32702 [일반] 오늘로서 부각된 첼시의 문제점과 나아가야 할점. 지금은 너무나도 부족하다. [65] 삭제됨6181 11/10/30 6181 0
32701 [일반] 노동자가 정당한 댓가를 받는 나라 [66] 13롯데우승6981 11/10/30 6981 5
32700 [일반] 작룡문 소개 + 마작 이야기 [13] Cherry Blossom4921 11/10/30 4921 0
32699 [일반] 한글을 그리다 - 독도 [2] 김치찌개3951 11/10/30 3951 0
32698 [일반] 버스 콘서트 [10] zzz...4852 11/10/29 4852 0
32697 [일반] 한미 FTA에 대해 알아봅시다. [88] Toppick8914 11/10/29 8914 17
32695 [일반] - [87] 삭제됨11048 11/10/29 11048 0
32694 [일반] 고려의 마지막 명장 - (완) 조선의 첫 번째 왕 [14] 눈시BBver.26522 11/10/29 6522 2
32693 [일반] 노회찬 전 의원이 실형을 선고받고, 내년 총선출마가 좌초되었습니다. [76] KARA9300 11/10/29 9300 0
32692 [일반] 나꼼수 26회 나왔습니다. [36] Charles8276 11/10/29 8276 1
32691 [일반] [MLB] 세인트루이스 월드시리즈 우승!! [24] Mithinza4883 11/10/29 4883 0
32690 [일반] [야구]손민한 선수가 은퇴 위기라네요. [20] 화이트데이7332 11/10/29 7332 0
32689 [일반] [pgr 유포 악성코드] 취약점 공격을 통한 ws2help.dll 시스템 파일 패치 [15] 물여우5625 11/10/29 5625 2
32688 [일반] 내수를 키우자! [42] 왕은아발론섬에..5706 11/10/29 5706 0
32687 [일반] 제가 FTA에 대해 걱정하는 소박한 이유 [70] 포켓토이5076 11/10/29 5076 0
목록 이전 다음
댓글

+ : 최근 1시간내에 달린 댓글
+ : 최근 2시간내에 달린 댓글
맨 위로