본문 바로가기
IT 보안소식

[정상파일변조] 변조된 사이트를 이용한 정상파일(wshtcpip.dll)을 수정하는 악성파일 주의!!

by 잡다한 처리 2013. 3. 26.
반응형


최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.
그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.

자세한 내용은 아래의 링크를 참조하시길^^

wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.

<정상파일 정보>
파일명 : wshtcpip.dll (Windows Sockets Helper DLL)
파일위치 : C:\Windows\system32 

- Windows XP sp2 (ver 
5.1.2600.2180)
MD5 : 
65892C620E536CA2A6DAFD004A3ABB19
Size : 19968 Byte

 Windows XP sp3 (ver 5.1.2600.5512)
MD5 : 0B14DFD82A538CF8933435397DBC4925
Size : 19456 Byte

- Windows7 sp1 (ver 6.1.7600.16385)
MD5 :  EE5C8E27C37B79CB54A2FCEEED2DC262
Size : 9216 Byte

- 정상파일과 악성파일의 비교
정상파일 wshtcpip.dll 의 크기는 약 19KB 이며, 새롭게 생성 된 wshtcpip.dll 악성파일의 크기는 42KB 이다.  


악성 
 wshtcpip.dll 의 경우는 원본파일의 코드를 가지고 있지 않아서 백업 한 wshtcptk.dll 파일의 Export Table을 참조한다



* 생성파일
C:\WINDOWS\system32\wshtcpip.dll (Spyware.OnlineGames.pip) 
C:\WINDOWS\system32\Didu (정상파일 wshtcpip.dll의 백업 파일)
C:\WINDOWS\system32\ufuyGyYyfT (정상파일 wshtcpip.dll의 백업 파일)
C:\WINDOWS\system32\wshtcptk.dll (정상파일 wshtcpip.dll의 백업 파일) 



- wshtcpip.dll 수동삭제 방법(대상 시스템은 Windows XP이다, Win7도 마찬가지긴 하나 조금씩 다를 수 있음)
해당 정상파일(wshtcpip.dll)은 WFP에 의해 보호받고 있는 파일이다.
따라서 악성파일의 이름을 변경해주면 Windows에서 복구시킨다. (시스템에 따라 안될 수도 있으니 주의!!)

* 수동삭제 방법은 다음과 같다.

1. 현재 악성파일인 wshtcpip.dll 의 이름 변경 ( 예제 : wshtcpip.dll → wshtcpip.dll.dll)
2. 정상파일의 백업 파일인 wshtcptk.dll 파일의 이름을 wshtcpip.dll 로 변경
3. 재부팅
4. 재부팅 후 변경 한 악성파일 wshtcpip.dll.dll 파일을 삭제한다.

※ 만약 1번에서 악성파일의 이름을 바꾼 후, 2번의 정상파일의 이름을 변경하지 않고 재부팅을 한다면 인터넷이 안 될 수 
    있으니 주의하시기 바람!!


댓글