반응형
최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.
그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.
자세한 내용은 아래의 링크를 참조하시길^^
wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : 65892C620E536CA2A6DAFD004A3ABB19
Size : 19968 Byte
- Windows XP sp3 (ver 5.1.2600.5512)
MD5 : 0B14DFD82A538CF8933435397DBC4925
Size : 19456 Byte
- Windows7 sp1 (ver 6.1.7600.16385)
MD5 : EE5C8E27C37B79CB54A2FCEEED2DC262
Size : 9216 Byte
- 정상파일과 악성파일의 비교
정상파일 wshtcpip.dll 의 크기는 약 19KB 이며, 새롭게 생성 된 wshtcpip.dll 악성파일의 크기는 42KB 이다.
악성 wshtcpip.dll 의 경우는 원본파일의 코드를 가지고 있지 않아서 백업 한 wshtcptk.dll 파일의 Export Table을 참조한다
- wshtcpip.dll 수동삭제 방법(대상 시스템은 Windows XP이다, Win7도 마찬가지긴 하나 조금씩 다를 수 있음)
해당 정상파일(wshtcpip.dll)은 WFP에 의해 보호받고 있는 파일이다.
따라서 악성파일의 이름을 변경해주면 Windows에서 복구시킨다. (시스템에 따라 안될 수도 있으니 주의!!)
* 수동삭제 방법은 다음과 같다.
자세한 내용은 아래의 링크를 참조하시길^^
wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
<정상파일 정보>
파일명 : wshtcpip.dll (Windows Sockets Helper DLL)
파일위치 : C:\Windows\system32
- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : 65892C620E536CA2A6DAFD004A3ABB19
Size : 19968 Byte
- Windows XP sp3 (ver 5.1.2600.5512)
MD5 : 0B14DFD82A538CF8933435397DBC4925
Size : 19456 Byte
- Windows7 sp1 (ver 6.1.7600.16385)
MD5 : EE5C8E27C37B79CB54A2FCEEED2DC262
Size : 9216 Byte
- 정상파일과 악성파일의 비교
정상파일 wshtcpip.dll 의 크기는 약 19KB 이며, 새롭게 생성 된 wshtcpip.dll 악성파일의 크기는 42KB 이다.
악성 wshtcpip.dll 의 경우는 원본파일의 코드를 가지고 있지 않아서 백업 한 wshtcptk.dll 파일의 Export Table을 참조한다
* 생성파일
C:\WINDOWS\system32\wshtcpip.dll (Spyware.OnlineGames.pip)
C:\WINDOWS\system32\Didu (정상파일 wshtcpip.dll의 백업 파일)
C:\WINDOWS\system32\ufuyGyYyfT (정상파일 wshtcpip.dll의 백업 파일)
C:\WINDOWS\system32\wshtcptk.dll (정상파일 wshtcpip.dll의 백업 파일) - wshtcpip.dll 수동삭제 방법(대상 시스템은 Windows XP이다, Win7도 마찬가지긴 하나 조금씩 다를 수 있음)
해당 정상파일(wshtcpip.dll)은 WFP에 의해 보호받고 있는 파일이다.
따라서 악성파일의 이름을 변경해주면 Windows에서 복구시킨다. (시스템에 따라 안될 수도 있으니 주의!!)
* 수동삭제 방법은 다음과 같다.
1. 현재 악성파일인 wshtcpip.dll 의 이름 변경 ( 예제 : wshtcpip.dll → wshtcpip.dll.dll)
2. 정상파일의 백업 파일인 wshtcptk.dll 파일의 이름을 wshtcpip.dll 로 변경
3. 재부팅
4. 재부팅 후 변경 한 악성파일 wshtcpip.dll.dll 파일을 삭제한다.
※ 만약 1번에서 악성파일의 이름을 바꾼 후, 2번의 정상파일의 이름을 변경하지 않고 재부팅을 한다면 인터넷이 안 될 수
있으니 주의하시기 바람!!
'IT 보안소식' 카테고리의 다른 글
안카메라(AnCamera), 서비스 이용 장애 사과문 공지!! (0) | 2013.03.28 |
---|---|
구글 크롬(Google Chrome), 26.0.1410.43 업데이트!! (2) | 2013.03.27 |
[스마트폰 사기] 문자천국,인포허브,뉴스특보,한게임,마켓 승인번호,동창회,택배,더케이 위장 SMS 주의 (2013-03-26) (0) | 2013.03.26 |
안카메라(AnCamera), 변조 된 업데이트 파일에서 생성 되는 온라인게임 스파이웨어 감염 주의!! (4) | 2013.03.25 |
[3.20 MBR 대란] YTN, KBS, MBC, 신한은행, 농협 정보전산망 마비 (2013-03-20) (0) | 2013.03.20 |
댓글