터보백신에서는 자사 제품을 사용하시는 기업 및 고객 분들께 제품에 대한 이해 및 안전한 PC 사용을 위해
고객지원 서비스를 시행하고 있습니다.

오늘은 2012년 고객지원한 사례 중 빈도가 높았던 온라인 게임핵 ws2help.dll 변조 사례를 안내해드리고자 합니다.

터보백신 고객지원팀에 아래와 같은 문의가 접수되었습니다.

“안녕하세요, 저희는 OOO 기업이라고 합니다. 현재 터보백신 제품을 사용하기 위해
 터보백신 인터넷 시큐리티 라는 제품을 설치하였는데요,

 터보백신을 설치한 후 인터넷이 작동하지 않습니다.
 또한 타백신 A사, B사의 바이러스검사 기능이 실행 되지 않습니다.. 어떻게 해야 하나요? ”

위 문의사항에 대하여 고객지원 서비스를 시작하여 PC를 점검하면 대부분
ws2help.dll 시스템 파일의 변종 바이러스 인 경우가 많습니다.

이 파일을 변조하여 악성행위를 하는 악성코드를 OnlineGameHack 이라는 이름으로 부릅니다.

해당 악성코드의 경우 치료 할 경우 인터넷이 실행되지 않거나 여러 이상 증세를 나타내기 때문에
일부 타제품에서는 치료하지 않거나 검출하지 않는 경우가 많습니다.

온라인게임핵 악성코드는 주로 게임 계정을 탈취하고 백신을 무력화 시키는 기능을 합니다.

게임 계정 탈취를 통해 금전 및 아이템을 훔쳐내는 해킹을 진행하며 특히, 해당 악성코드의 경우
특정 게임의 프로세스를 식별하여 아이디 및 비밀번호를 외부사이트로 유출합니다.

지금까지 알려진 특정 게임목록은 아래와 같습니다.

1. 다크블러드 (DarkBlood.exe)
2. 던전앤파이터 (df.nexon.com, dnf.exe)
3. 한게임 (hangame.com)
4. 넷마블 (netmable.net)
5. 레이시티
6. 피파온라인
7. 피망 (pmang.com)
8. 불멸 (dm.ndoors.com)
9. 마에스티아 (maestia.ndolfin.com)
10. 아이온 (aion.plaync.co.kr)
11. 피파온라인 (ff2client.exe)
12. 테라 (TERA.exe)
13. 레젼드오브블러드 (LOB.exe)
14. 마비노기 영웅전 (heroes.exe)
15. 리니지 (lin.bin)
16. 메이플스토리 (Maplestory.exe)

위 게임 프로세스 혹은 웹사이트 상에서의 로그인 등은 인터넷 실행에 필요한 ws2help.dll 에서 수집해
외부 서버로 보내지게 됩니다.
 

점검 및 해결방법은 아래와 같습니다.
(!주의! 윈도우의 시스템 구성파일로 접근하여 수행되는 작업이므로 주의를 요구하는 작업입니다.)
(해당 악성코드 경우 변종되어 배포되는 경우가 빈번하므로 정보가 정확하게 일치하지 않을 수 있습니다. )

1. C:\WINDOWS\system32 경로에 접근하여 리스트를 파일 명으로 정렬한 뒤 ws2help.dll 파일을 찾습니다.
2. ws2help.dll 외에 파일명이 비슷한 ws2help.343.tmp, ws2helpXP.dll 파일이 존재할 경우 온라인 게임핵 악성코드에 감염되었을 확률이 높습니다.
   ( 기울임 글씨로 표시된 부분은 숫자, 대문자 랜덤으로 저장됩니다.)

3. ※ ws2help.dll => 감염된 파일
   ※ ws2helpXP.dll => 백업된 정상 시스템 파일
   ※ 감염된 ws2help.dll 의 경우 파일의 수정날짜가 최근 날짜이며,
        크기가 정상 크기보다 큰 경우가 대부분입니다.
   ※ 정상 파일의 경우 ws2help.dll의 수정날짜는 2008-09-14

4. ws2help.dll의 파일명을 ws2help.dll_virus 로 바꿔주세요.
5. ws2helpXP.dll의 이름을 ws2help.dll 로 바꿔줍니다.
   (만약 진행되지 않으면 새로 고침, F5 버튼을 눌러주시면 생성되어있을 수 있습니다.
   생성된 파일이 ws2helpXP.dll 파일의 생성날짜와 크기가 같은지 비교합니다.)
6. 재 부팅 합니다.
7. 터보백신 설치 후 인터넷이 되는지 확인합니다.
8. C:\WINDOWS\system32 에서 재 부팅 전 변경했던 ws2help.dll_virus 파일을 삭제합니다.
9. 비슷한 이름으로 구성되어있는 ws2help.343.tmp 파일을 삭제합니다.
10. 이상입니다.

현재까지는 온라인 게임의 계정을 탈취한다고 알려진 악성코드이지만 변종 되어 유포되는 사례가 대부분이므로
대형 포털 사이트 및 인터넷에 입력하는 여러 정보 또한 안전하다고 볼 수 없습니다.

따라서, 무엇보다 PC 사용자의 주의가 요구되며 온라인게임핵 악성코드의 경우 소프트웨어의 취약점을 통해
감염되므로 소프트웨어의 보안 업데이트를 최신으로 유지시켜주는 것이 가장 중요합니다.
 

터보백신이 추천드리는 예방 방법은 다음과 같습니다.

1. 윈도우 업데이트를 항상 최신으로 유지합니다.
2. 플래시 및 자바 업데이트를 최신으로 유지합니다.
3. 터보백신의 정밀검사를 정기적으로 수행합니다.
4. 터보백신의 바이러스 패턴 업데이트를 최신으로 유지합니다.
5. 알려지지 않은 링크의 접속을 자제합니다.
6. 이메일의 첨부파일을 바로 실행하지 않고, 저장한 뒤 바이러스 검사 후 실행합니다.