안녕하세요... 얼마전에 해킹을 당한 벨로칸 서버에 퀘통령 이라고 합니다.

음.. 해킹을 당한후에 의문점이 생겼는데요, 저는 아이디가 꽤 깁니다.. 아이디는 영문+숫자로 되어있고20글자정도됩니다.

또한 비밀번호는 영문+숫자로 이루어져있고

2차비밀번호는 영문+숫자+특문+공백으로 이루어져있습니다.

참고로 UOTP는 사용하지 않았습니다.

그런데 해킹을 당했다니요? UOTP 안써도 주기적으로 보안관리에 힘쓰고 비밀번호와 아이디를 자주 바꿨는데말이죠?

그래서 제가 왜 해킹을 당했나.. 인터넷에서 찾아보았습니다.

제가 메이플 할때 일어났던 증상들을 말씀드리겠습니다. (이 현상들이 발생하고 다음날 해킹을 당했습니다)

1. 백신 프로그램들이 마비가됩니다. 필자는 V3 백신을 사용했으나, V3백신을 킬경우 파일을 찾을수 없다며 오류가떴죠.

2. 인터넷이 자주 꺼집니다 (IE,크롬,파폭)

3. 메이플스토리 플레이 도중에 갑자기 꺼집니다. 꺼지고 난 후에 오류 메세지는 뜨지 않습니다.(파일의 끝 같은 메세지 안뜸)

4.OTP 번호를 칠경우에 렉먹으면서 안뚫릴때가있음 (제 친구가 이러고 털림..)

4. 컴퓨터 부팅과 재부팅, 그리고 종료가 매우 오래걸립니다.

자... 이것은 바이러스에 걸렸을때 나타나는 증상입니다.

ws2help.dll 과 spoo1sv.exe , 그리고 wuapi.exe 이놈들이 주 원인이죠..

ws2help.dll 과 spoo1sv.exe 이놈들은 온라인 게임 계정을 수집하고 wuapi.exe는 주로 백신을 무력화 시킵니다.

이것들은 주로 플래시를 통해 감염된다고 합니다.. 네이버 광고라던가.. 각종 포털 사이트의 플래시 광고들에서 컴퓨터로
유입됩니다. 물론 플래시가 아닌 다른 방법으로도 유입되지만 '극히' 드문 경웁니다.

자세히 알아볼까요? 아래의 글의 출처 : http://cleverdj.tistory.com/81 (블로그에 퍼간다고 댓글남기고 퍼옵니다)
-----------------------------------------------------------------------------------------------------------------
19일 카스퍼스키 제품에서 Trojan.Scrip.Iframer 이라는 진단명으로 다수의 컴퓨터에서 감염이 발생되어 확인한 결과 네이버 접속 시 특정 광고를 통하여 감염이 이루어지는 것을 확인하였습니다.

해당 광고가 노출되면 아래와 같은 악성스크립트가 실행이 되어집니다.






AdobeFlashPlayer 취약점을 통하여 감염이 되며 최종 AGS.gif 파일을 다운로드 하여 악성파일을 생성하게 됩니다. AGS.gif 파일은 이미지 파일로 위장하고 있습니다.






 URL 정보
 
hxxp://wap.hell***op.info/a18/my.html?cdkey
   └ hxxp://wap.hell***op.info/a18/new.html?劤壙젬꺄1119
          └ hxxp://wap.hell***op.info/a18/Birthday.swf
   └ hxxp://wap.hell***op.info/a18/fun.htm?莖폭渡괩1119
          └ hxxp://121.78.***.175/Ags/AGS.gif - 최종파일
hxxp://wap.hell***op.info/a18/e.avi


 생성파일 정보

C:WINDOWSsystem32ws2help.dll - 악성파일
C:WINDOWSsystem32ws2help.dll.(영문+숫자3자리랜덤).tmp
C:WINDOWSsystem32ws2helpXP.dll - 원본파일



감염이 되면 원본파일인 ws2help.dll 파일을 다른 이름으로 변경하며 자신이 원본파일인 것처럼 위장하고 있습니다. 또한 iexplorer.exe 프로세스에 로드되어 온라인게임 사이트 및 문화상품권 사이트의 계정을 유출합니다.






iexplorer.exe 에 ws2helpXP.dll 도 같이 로드되어 있으며 아마도 원래의 ws2help.dll 역할을 ws2helpXP.dll 이 처리를 하고 있는 것으로 생각됩니다.




 계정유출 관련 사이트

1. 온라인게임
   - 한게임 : 테라
   - 피망 : 레이시티, 피파온라인
   - 넥슨 : 던파, 엘소드, 바람의나라, 메이플스토리
   - 엔씨소프트 : 리니지
   - 게임하이 : 데카론
   - 블리자드 : 와우
   - 넷마블

2. 그 외 사이트
   - 해피머니
   - 컬쳐랜드





위의 사이트에 로그인을 시도하면 특정 사이트로 계정이 유출되는 것을 확인 할 수 있습니다.





 제거 방법

악성코드 제거 방법은 가장 간단하게 전용백신을 통하여 제거를 할 수 있습니다. 안철수연구소 및 하우리에서 전용백신을 제공하고 있으니 해당 프로그램을 다운받아 감염여부를 검사하시면 됩니다.

안철수연구소 전용백신
하우리 전용백신
------------------------------------------------------------------------------------------------------------------
저는 안철수 연구소 전용백신을 다운받아서 검사를 해보았습니다.

결과는 ws2help.dll, 그리고 wuapi.exe에 감염되었습니다. C:WINDOWS.2system32 이 폴더안에 두 놈이 침투했더군요...

위 글과는 약간 다른 경로지만 말입니다..


검사 해보시고 치료를 받으시기 바랍니다.

예방법 
예방하기 위해선 플래시와 어도비 리더, 윈도우 업데이트가 필수입니다.

플래시 업데이트 : http://get.adobe.com/kr/flashplayer/
어도비 리더 업데이트 : http://get.adobe.com/kr/reader/
윈도우 업데이트 : http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?Inko&&thankspage=5