1. 서론
 최근 국내에서 퍼지는 온라인 게임핵 악성코드 중 폴더명에 '.' 을 넣어 AV 진단을 우회하는 형태가 확인되어 해당 글을 작성합니다.


2. 악성코드 동작 방법
 악성코드에 감염이 되게 되면 아래와 같은 Batch 파일을 생성 및 실행하여 '.' 이 들어간 폴더를 생성 후 실행하게 됩니다.

[그림 1] '.' 폴더를 생성하기 위한 Batch 스크립트 파일 내용 중 일부



이러한 '.' 이 들어간 폴더에 접근을 하려 하면 아래와 같이 오류가 발생하게 됩니다. 따라서 악성코드가 이런 폴더를 생성하는 이유는 악성코드가 존재하는 폴더로 접근을 하지 못하도록 하여 삭제를 방해하기 위한 목적으로 생각됩니다. 추가로 실제 일부 AV에서는 진단을 못하는 케이스도 확인되었습니다.


[그림 2] '.' 이 포함된 폴더로 접근 시 나타나는 오류창



3. 감염 시 나타나는 증상
 감염시 나타나는 증상은 매우 다양합니다. 주로 아래와 같은 증상이 나타나오니 확인 후 해당 증상과 동일하다면 아래 조치 방법을 참고하시어 조치하시기 바랍니다.

1) 아래 경로에 '.' 이 포함된 폴더가 존재하는 경우
주로 아래 그림처럼 'C:\Program Files\' 경로 이하에 '.' 을 포함한 폴더명이 존재합니다.

[그림 3] 악성코드로 인해 생성된 '.' 이 포함된 폴더


2) ws2help.dll 파일의 수정한 날짜가 변경되어 있는 경우, 혹은 ws3help.dll 파일이 존재하는 경우
해당 악성코드는 윈도우 시스템 파일인 ws2help.dll 파일을 악성 파일로 교체하게 됩니다. 따라서 감염되었을 경우 아래와 같이 '수정한 날짜' 가 최근 날짜로 변경되어 있음을 확인할 수 있습니다.

추가로 악성코드가 원본 ws2help.dll 파일을 ws3help.dll 파일로 변경시키므로 ws3help.dll 파일이 존재할 경우 역시 악성코드에 감염이 되었다고 볼 수 있습니다.

[그림 4] ws2help.dll 파일이 악성 파일로 변조된 경우



3. 조치 방법
 위에서 알려드린 증상이 발생할 경우 아래 안내해 드리는 전용백신으로 검사를 진행해 보시기 바랍니다.
전용백신 다운로드 페이지 : http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105

전용백신 실행 후 진단이 될 경우 아래와 같이 진단된 파일이 나타나게 됩니다.

[그림 5] 전용백신으로 진단된 악성코드


검사가 완료된 후 [전체 치료] 버튼을 누르게 되면 아래와 같이 재부팅이 필요하다는 메시지가 나오므로 꼭! 재부팅을 해주시기 바랍니다.

[그림 6] 전용백신으로 검사 후 [전체 치료] 버튼을 눌렀을 경우 나타나는 화면


재부팅을 하고나면 V3 제품을 최신 엔진으로 업데이트 후 다시 한번 전체 검사를 진행해 주시기 바랍니다. 만약 전체 검사 시 아래와 같이 '치료 실패' 가 나타나는 경우가 존재합니다.

[그림 7] '.' 이 포함된 폴더가 치료실패가 난 경우


이런 경우 설정값을 변경하여 주어야 하는데 [환경 설정] 에서 [정밀 검사 설정] 항목에서 [치료나 삭제 전 감염된 파일을 검역소로 보내기] 항목을 체크 해제 후 다시 검사를 진행하여 삭제하시기 바랍니다. 삭제 후에는 다시 해당 옵션값을 원래대로 되돌리시는 것을 권장 드립니다.

[그림 8] 치료실패가 나는 경우 변경해줘야 할 옵션값

[그림 9] 옵션 변경 후 삭제가 완료된 화면




신고
Posted by 비회원