터보백신에서는 자사 제품을 사용하시는 기업 및 고객 분들께 제품에 대한 이해 및 안전한 PC 사용을 위해
고객지원 서비스를 시행하고 있습니다.
오늘은 2012년 고객지원한 사례 중 빈도가 높았던 온라인 게임핵 ws2help.dll 변조 사례를 안내해드리고자 합니다.
터보백신 고객지원팀에 아래와 같은 문의가 접수되었습니다.
“안녕하세요, 저희는 OOO 기업이라고 합니다. 현재 터보백신 제품을 사용하기 위해
터보백신 인터넷 시큐리티 라는 제품을 설치하였는데요,
터보백신을 설치한 후 인터넷이 작동하지 않습니다.
또한 타백신 A사, B사의 바이러스검사 기능이 실행 되지 않습니다.. 어떻게 해야 하나요? ”
위 문의사항에 대하여 고객지원 서비스를 시작하여 PC를 점검하면 대부분
ws2help.dll 시스템 파일의 변종 바이러스 인 경우가 많습니다.
이 파일을 변조하여 악성행위를 하는 악성코드를 OnlineGameHack 이라는 이름으로 부릅니다.
해당 악성코드의 경우 치료 할 경우 인터넷이 실행되지 않거나 여러 이상 증세를 나타내기 때문에
일부 타제품에서는 치료하지 않거나 검출하지 않는 경우가 많습니다.
온라인게임핵 악성코드는 주로 게임 계정을 탈취하고 백신을 무력화 시키는 기능을 합니다.
게임 계정 탈취를 통해 금전 및 아이템을 훔쳐내는 해킹을 진행하며 특히, 해당 악성코드의 경우
특정 게임의 프로세스를 식별하여 아이디 및 비밀번호를 외부사이트로 유출합니다.
지금까지 알려진 특정 게임목록은 아래와 같습니다.
위 게임 프로세스 혹은 웹사이트 상에서의 로그인 등은 인터넷 실행에 필요한 ws2help.dll 에서 수집해
외부 서버로 보내지게 됩니다.
점검 및 해결방법은 아래와 같습니다.
(!주의! 윈도우의 시스템 구성파일로 접근하여 수행되는 작업이므로 주의를 요구하는 작업입니다.)
(해당 악성코드 경우 변종되어 배포되는 경우가 빈번하므로 정보가 정확하게 일치하지 않을 수 있습니다. )
※ ws2help.dll => 감염된 파일
※ ws2helpXP.dll => 백업된 정상 시스템 파일
※ 감염된 ws2help.dll 의 경우 파일의 수정날짜가 최근 날짜이며,
크기가 정상 크기보다 큰 경우가 대부분입니다.
※ 정상 파일의 경우 ws2help.dll의 수정날짜는 2008-09-14
현재까지는 온라인 게임의 계정을 탈취한다고 알려진 악성코드이지만 변종 되어 유포되는 사례가 대부분이므로
대형 포털 사이트 및 인터넷에 입력하는 여러 정보 또한 안전하다고 볼 수 없습니다.
따라서, 무엇보다 PC 사용자의 주의가 요구되며 온라인게임핵 악성코드의 경우 소프트웨어의 취약점을 통해
감염되므로 소프트웨어의 보안 업데이트를 최신으로 유지시켜주는 것이 가장 중요합니다.
터보백신이 추천드리는 예방 방법은 다음과 같습니다.