해당 악성코드는 윈도우 시스템에 존재하는 ws2help.dll 파일을 악성코드에 생성된 ws3help.dll 파일로 교체한 후 ws2help.dll 파일을 호출하는 모든 프로세스에 인젝션되어 동작하도록 되어 있다. 그리고 시스템에 설치되어 있는 V3를 직접적으로 공격하는 기능과 함께 다양한 온라인 게임들의 사용자 정보를 탈취하는 기능을 수행하게 된다.
해당 악성코드는 드로퍼(Dropper) 형태이며 파일 자체는 Null Soft Install 프로그램으로 압축되어 있으며, 아래 이미지와 같이 해당 드로퍼에 의해 두 번재 드로퍼를 설치하게 된다.
생성된 또 다른 드로퍼에 의해 V3 관련 프로세스들을 강제 종료 시도를하게 되고, 윈도우 시스템에 존재하는 정상 파일인 ws2help.dll을 ws3help.dll로 파일명을 변경하여 백업을 수행하게 된다. 그리고 악성코드에 의해 변경된 ws2help.dll을 호출하는 모든 프로세스에 인젝션되어 동작하게 된다.
아래 이미지와 같이 이러한 리소스 영역의 데이터를 읽어 들어 파일로 생성하는 기법은 일반적인 드로퍼 형태의 악성코드에서 많이 사용하는 기법 중 하나이다.
그리고 아래 이미지와 같이 윈도우 시스템의 특정 레지스트리(Registry)에 TabProcGrowth 키를 생성한다.
이와 함께 윈도우 시스템에 의해 보호되는 ws2help.dll 파일을 악성코드와 변경하게 위해 WFP(Windows File Protection)을 무력화 시키게 된다. WFP의 무력화를 위해 아래 이미지와 같이 Sfc_os.dll 파일을 로드 후 Function #5를 호출하여 1분간 WFP를 무력화 시키게 된다.
WFP가 무력화가 되면 이후 두 번째 드로퍼에 의해 생성된 악성코드를 ws2help.dll 파일명으로 Dllcache와 SYSTEM32 디렉토리로 복사하게 된다.
두 번째 드로퍼에 의해 생성되어 정상 ws2help.dll 파일과 변경되는 악성코드는 엔트리 포인트(Entry Point)로 진입하게 되면 아래 이미지와 같이 인터럽터 3(Int 3) 안티 디버깅(Anti-Debugging)이 존재 한다.
해당 안티 디버깅 코드 이후 언패킹 루틴(Unpacking Routine)을 통과 하게 되면 아래 이미지와 같은 OEP가 나타나게 된다.
그리고 해당 악성코드는 감염된 시스템에서 실행 중인 프로세스 목록을 얻어 온 후 tskill.exe을 이용하여 V3와 관련된 프로세스 및 온라인 게임 관련 프로세스를 강제 종료하는 기능을 수행한다.
악성코드에 의해 강제 종료 되는 프로세스들은 다음과 같다.
Categories:악성코드 정보