본문 바로가기
AhnLab 보안in

게임하다 나도 몰래 감염되는 악성코드 대처법

by 보안세상 2020. 4. 12.

2011.06.22

 

안녕하세요. 안랩인입니다. 최근 윈도우 시스템 파일을 악성으로 변조하는 온라인 게임핵 악성코드가 다수 발견되고 있습니다. 이러한 악성코드는 대부분 웹사이트를 통해 유포되며 계속해서 새로운 변종을 만들고 있어 많은 주의를 요합니다.

악성코드 감염여부 확인법

아래와 같이 C:\Windows\System32 폴더에서 ws2help.dll 파일을 찾아 확인해 보시면, 아래와 같이 32,802KB 등과 같이 사이즈가 크다며 악성코드에 감염된 것 입니다.

 

 

[그림 5] 악성코드 감염 시 비정상적으로 사이즈가 커진 파일


감염 경로

감염 시 웹브라우져가 정상적으로 실행이 되지 않고 종료된다거나 시스템이 느려지는 증상이 발생합니다. 그리고 기존의 윈도우 시스템 파일 중 imm32.dll, lpk.dll 파일을 ws2help.dll 파일로 변조합니다.

이 악성코드는 웹사이트를 통해 유포되며 유포방법은 총 3가지 취약점을 이용합니다.

첫째. Adobe Flash Player, CVE-2011-0611

이 취약점은 SWF 파일을 이용한 취약점으로 주소 banner숫자.swf, nb.swf 등의 파일명으로 유포가 이루어 집니다. 아래와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인해 볼 수 있는데요.

 

[그림 1] SWF 파일 분석 화면



해당 쉘코드를 분석하면 아래와 같이 jpg파일을 받아 실행하고 있는 것을 알 수 있습니다. 확장자는 jpg이지만, 실제로는 이미지 파일이 아닌 악성코드 파일입니다.

 

[그림 2] 쉘코드 분석 후 최종 다운로드 받는 URL을 확인한 화면


둘째. Adobe Flash Player, CVE-2011-2110

해당 취약점은 지난 6월 15일에 보안 업데이트가 나온 취약점으로, 가장 최근에 나온 취약점인데요. 현재 국내의 다수 사용자가 여전히 해당 보안 업데이트를 하지 않은 상황이라 이로 인해 많은 감염자가 발생하고 있습니다.

분석을 해보면 암호화 된 URL이 있는 것을 볼 수 있으며 이를 해제하면 아래와 같이 TXT 파일을 받아 실행하게 됩니다. 마찬가지로 이 TXT 파일은 역시 악성코드가 암호화 된 파일이며, 아래와 같이 암호화를 해제하면 정상적인 윈도우 실행 파일임을 확인할 수 있습니다.

 

[그림 3] 암호화 된 URL 및 파일


셋째. Internet Explorer, CVE-2010-3962, MS10-090

2010년에 나온 인터넷 익스플로러 취약점으로써 여전히 이 취약점도 악성코드 유포에 많이 이용되고 있습니다.

 

[그림 4] 인터넷 익스플로러 취약점 분석 과정 중 일부 화면


감염을 예방하기 위해서

따라서 악성코드 감염을 예방하기 위해서는 위 취약점들에 대한 보안 업데이트를 해야 합니다. 업데이트 방법은 아래와 같습니다.

1) Adobe Flash Player 업데이트 방법
http://core.ahnlab.com/302

2) Internet Explorer 업데이트 방법
http://core.ahnlab.com/221

[표 1] 보안 취약점에 대한 업데이트 방법

해당 악성코드에 감염된 경우, 아래 안철수연구소 홈페이지에서 제공하는 전용백신을 이용하여 치료 하시면 됩니다.

[그림 6] 전용백신으로 해당 악성코드를 검출한 화면


알려드린 방법을 잘 숙지하시어 안전한 인터넷 생활을 영위하시길 바랍니다. Ahn