[정상파일변조] 변조된 사이트를 이용한 정상파일(wshtcpip.dll)을 수정하는 악성파일 주의!!

최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.

그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.

wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.

<정상파일 정보>

파일명 : wshtcpip.dll (Windows Sockets Helper DLL)

파일위치 : C:\Windows\system32 

- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : 65892C620E536CA2A6DAFD004A3ABB19
Size : 19968 Byte

-  Windows XP sp3 (ver 5.1.2600.5512)
MD5 : 0B14DFD82A538CF8933435397DBC4925
Size : 19456 Byte

- Windows7 sp1 (ver 6.1.7600.16385)
MD5 :  EE5C8E27C37B79CB54A2FCEEED2DC262
Size : 9216 Byte

- 정상파일과 악성파일의 비교
정상파일 wshtcpip.dll 의 크기는 약 19KB 이며, 새롭게 생성 된 wshtcpip.dll 악성파일의 크기는 80KB 이다.  

악성  wshtcpip.dll 의 경우는 원본파일의 코드를 가지고 있지 않아서 백업 한 wshtcpxp.dll 파일의 Export Table을 참조한다

* 생성파일

C:\WINDOWS\system32\wshtcpip.dll (변조 된 정상파일-악성)

C:\WINDOWS\system32\wshtcpxp.dll (백업 된 정상파일)

C:\WINDOWS\system32\20122415341.dll (백업 된 정상파일)

C:\WINDOWS\system32\safemon.dll (BHO에 등록 되는 악성파일, 사용자 ID/PW를 가로채는 스파이웨어)

C:\Documents and Settings\[사용자계정]\Local Settings\Temp\20122415341.dll (악성 wshtcpip.dll 의 백업파일) 

이에 따른 악성파일 분석은 다음에...To Be Continued...!!