'.' 이 들어있는 게임핵 악성코드, 딱 걸렸어!

2011.09.21

 

안녕하세요. 안랩인입니다. 최근 국내에서 퍼지는 온라인 게임핵 악성코드 중 폴더명에 '.' 을 넣어 AV 진단을 우회하는 형태가 발견되어 해당 글을 작성합니다.

악성코드 동작 방법

 악성코드에 감염이 되게 되면 아래와 같은 Batch 파일을 생성 및 실행하여 '.' 이 들어간 폴더를 생성 후 실행하게 됩니다.

[그림 1] '.' 폴더를 생성하기 위한 Batch 스크립트 파일 내용 중 일부

이러한 '.' 이 들어간 폴더에 접근을 하려 하면 아래와 같이 오류가 발생하게 됩니다. 따라서 악성코드가 이런 폴더를 생성하는 이유는 악성코드가 존재하는 폴더로 접근을 하지 못하도록 하여 삭제를 방해하기 위한 목적으로 생각됩니다. 추가로 실제 일부 AV에서는 진단을 못하는 케이스도 확인되었습니다.

[그림 2] '.' 이 포함된 폴더로 접근 시 나타나는 오류창

감염 시 나타나는 증상

 감염시 나타나는 증상은 매우 다양합니다. 주로 아래와 같은 증상이 나타나오니 확인 후 해당 증상과 동일하다면 아래 조치 방법을 참고하시어 조치하시기 바랍니다.

1) 아래 경로에 '.' 이 포함된 폴더가 존재하는 경우
주로 아래 그림처럼 'C:\Program Files\' 경로 이하에 '.' 을 포함한 폴더명이 존재합니다.

[그림 3] 악성코드로 인해 생성된 '.' 이 포함된 폴더

2) ws2help.dll 파일의 수정한 날짜가 변경되어 있는 경우, 혹은 ws3help.dll 파일이 존재하는 경우
해당 악성코드는 윈도우 시스템 파일인 ws2help.dll 파일을 악성 파일로 교체하게 됩니다. 따라서 감염되었을 경우 아래와 같이 '수정한 날짜' 가 최근 날짜로 변경되어 있음을 확인할 수 있습니다.

추가로 악성코드가 원본 ws2help.dll 파일을 ws3help.dll 파일로 변경시키므로 ws3help.dll 파일이 존재할 경우 역시 악성코드에 감염이 되었다고 볼 수 있습니다. Ahn

[그림 4] ws2help.dll 파일이 악성 파일로 변조된 경우

* 더 자세한 정보는 안철수연구소 ASEC 대응팀 블로그를 확인해 주세요.