포스팅 내용

악성코드 분석 리포트

사용자 OS 시스템파일을 악성파일로 변조 및 감염시키는 악성코드 유행

사용자 OS 시스템파일을 악성파일로 변조 및 감염시키는 악성코드 유행


최근 사용자의 OS 시스템파일을 악성파일로 변조하여 감염시키는 악성코드가 새로이 유행하고 있는 것으로 확인됩니다. 이러한 수법은 예전부터 사용되어 왔으나 최근에는 교체시키는 대상파일 및 감염경로, 감염증상이 다양해지고 있습니다.


그 중 최근 가장 많이 보고되는 악성코드 형태는 윈도우 시스템파일 중 “wshtcpip.dll” 파일을 변조시켜 백신프로그램을 무력화 시키고 감염PC의 금융정보를 탈취하는 형태입니다.



악성코드 감염증상


금융정보 탈취, 감염PC내 공인인증서 정보 탈취, 백신 무력화


먼저 시스템에 존재하는 정상적인 wshtcpip.dll 파일을 악성으로 바꿔 치기 하고, 정상파일은 ws2tcpip.dll 이름으로 변경해서 로딩하는데 이용합니다.


▲ 정상 wshtcpip.dll


▲ 변조된 wshtcpip.dll


익스플로러 프로세스에 로딩되어 실행된 wshtcpip.dll 파일은 인터넷 뱅킹 사이트의 접속 시점을 모니터링 하여 특정 은행사이트가 확인되면 해당사이트의 금융거래정보를 탈취합니다. 또한 감염된 PC내 공인인증서가 존재하는지 “SingCert.der”, “SignPri.key” 파일을 검색하고, 유출을 시도합니다.


백신프로그램의 탐지를 차단시키기 위해 관련 서비스를 중지하고, 드라이버 파일을 삭제하여 백신프로그램이 실행되지 않거나 업데이트를 막아 무력화시킵니다.



악성코드 치료방법


현재 알약에서는 변조된 wshtcpip.dll 파일을 Spyware.OnlineGames.pip 진단명으로 탐지하고 있으며, 치료가 가능하지만 사용자PC에 따라 치료가 실패되는 경우가 발생될 수 있습니다.


치료가 실패되는 경우는 아래와 같은 방법으로 변조된 시스템파일을 정상파일로 교체하여 해결할 수 있습니다.


1. PC를 안전모드로 부팅하여 진행합니다.

안전모드 부팅방법 : http://blog.alyac.co.kr/149

 

2. wshtcpip.dll 이 위치한 C:\Windows\System32 폴더로 이동하여 파일이름을 임으로 변경합니다.

예시) wshtcpip.dll -> wshtcpip.dll 또는 wshtcpip.dll_

 

3. 윈도우 xp환경의 경우 위와 같이 파일이름을 변경하면 해당파일이 없는 것으로 인식하여 dllcash폴더에서 동일한 파일을 생성합니다. 파일이 생성된 것만 확인하면 됩니다. 윈도우7 이상 환경에서는 위와 같이 이름 변경 후 정상 wshtcpip.dll 파일을 넣어줘야 합니다. 

 

감염시 원래 정상파일이 “ws2tcpip.dll”이름으로 변경되기 때문에 해당파일이 있다면 해당파일을 원래 이름으로 (wshtcpip.dll)로 바꿔줍니다. ws2tcpip.dll 파일이 확인되지 않는다면, 다른 정상PC에서 동일한 파일을 복사하여 넣어줍니다.

 

4. PC를 일반모드로 재부팅한 후 이름을 변경해둔 파일을 삭제합니다.

 

5. 알약을 실행하여 최신DB로 업데이트 진행한 후 정밀검사를 진행하여 치료해 줍니다.

 

6. Wshtcpip.dll 파일이 변조되는 경우, midimap.dll 파일도 함께 변조될 수 있으므로 midimap.dll 파일에 대해서도 위와 같은 방법으로 정상파일로 교체해 줍니다.



해당 악성코드가 이슈가 되는 점 중 또 한가지는 일종의 제휴프로그램으로 불리는 애드웨어(Adware)를 통해 감염이 이루어진다는 점입니다. 공격자들은 이러한 애드웨어 프로그램 서버를 해킹하여 해당 프로그램 업데이트 시 악성파일이 함께 다운로드 되도록 파일을 변조합니다.


이러한 애드웨어 프로그램들이 이미 많은 사람에게 설치되어 있다는 점과 여타 Drive-by Download 기법처럼 특정 보안 취약점을 이용한 방식이 아니기 때문에 취약점 존재여부와 상관없이 누구나 감염대상에 포함시킬 수 있고, 애드웨어 업데이트 기능을 통해 언제든지 자유롭게 배포가 가능하다는 점을 이용해 악용되고 있는 것으로 보입니다.


이런 방식은 사용자들이 자신의 컴퓨터에 대한 보안상태를 최신정보로 유지한다 하더라도 자신도 모르게 설치되는 애드웨어로 인한 감염을 막을 수 없게 만듭니다.

 


▲ 파일 다운로드 프로그램을 통해 설치되는 애드웨어 프로그램


또한 애드웨어 프로그램들이 사용자가 인식하기 어렵게 설치되고 PC사용에 불편을 주는 부분은 있으나 엄연히 사용자 동의 절차를 통해 설치되는 부분이라 보안업체에서는 이러한 애드웨어 프로그램에 대한 탐지 및 제거가 애매한 상황에 있습니다.


이를 예방하기 위해서는 무엇보다 이러한 애드웨어 프로그램이 설치되지 않도록, 사용자들이 스스로 주의하는 것이 필요합니다. 신뢰할 수 없는 사이트나 개인 블로그를 통해 파일을 다운로드 받는 것은 피하고 파일을 다운로드 받거나 프로그램을 설치하는 경우에는 제휴프로그램이라는 명목으로 설치를 유도하는 프로그램은 없는지 확인하는 습관이 필요하겠습니다.



  1. 훈민정음 2014.12.15 00:28  수정/삭제  댓글쓰기

    wshtcpip.dll 파일 이름을 변경했는데 다른 파일이 생성 안되어있는데 집에 컴퓨터가 한 대라서 다른 정상pc의 파일을 복사할 수가 없으면 어떻게 해야 하나요?ㅠㅠ

    • 알약(Alyac) 2014.12.15 14:02 신고  수정/삭제

      안녕하세요. 알약입니다. 이 부분에 대해서는 현재 알약 전용백신으로도 치료할 수 있습니다! 파일 이름을 변경하셨다면 다시 원래대로 바꾸신 후에 알약 사이트(http://alyac.altools.co.kr/SecurityCenter/Analysis/VaccineDownloadView.aspx?id=25)에서 해당 전용백신을 다운로드 받아 검사 및 치료를 부탁 드릴게요! 이 후로도 해결되지 않으면 알약에서 [신고하기]를 통해 문의해주시기 바랍니다. 감사합니다.

    • 훈민정음 2014.12.16 21:32  수정/삭제

      백신 다운로드 받아서 치료하고 재부팅 했는데 문제가 여전히 발생해서 알려주신 대로 신고했어요! 고맙습니다*_*

  2. 천안또리 2014.12.22 23:48  수정/삭제  댓글쓰기

    midimap.dll 이파일은 파일명을 바꿔도
    정상파일이 생성이 안돼네요.
    바뀌면 어떻게 바뀌는지 정상파일이 생성이
    안될때 해결법 좀 알려주세요^^;;

    • 알약(Alyac) 2014.12.23 10:18 신고  수정/삭제

      안녕하세요. 알약입니다. 관련하여 알약 전용백신으로도 치료할 수 있습니다. 파일 이름을 변경하셨다면 원래대로 바꾸신 후 알약 사이트(http://alyac.altools.co.kr/SecurityCenter/Analysis/VaccineDownloadView.aspx?id=25)에서 해당 전용백신을 다운로드 받아 검사 및 치료를 부탁 드립니다. 그래도 해결되지 않으면 알약에서 [신고하기]를 통해 문의해주시기 바랍니다. 감사합니다.

  3. 긁냥 2014.12.23 00:08  수정/삭제  댓글쓰기

    정상파일이 생성이 안됩니다... xp 해결방법좀요

    • 알약(Alyac) 2014.12.23 10:20 신고  수정/삭제

      안녕하세요. 알약입니다. 현재 알약 전용백신으로도 치료가 가능하니, 파일 이름을 변경하셨다면 원래대로 바꾸신 후 알약 사이트(http://alyac.altools.co.kr/SecurityCenter/Analysis/VaccineDownloadView.aspx?id=25)에서 해당 전용백신을 다운로드 받아 검사 및 치료를 부탁 드립니다. 감사합니다.

  4. 소라 2014.12.31 11:14  수정/삭제  댓글쓰기

    이름 변경하고재부팅하면 새로 생성은 되는데 똑같이 언어가 중국어인파일로 생성이 됩니다. 몇번을 해도 그러네요‥
    이프로그램 때문인지 알약이 실행도 안되고ㅠ
    어떻해야할까요?

    • 알약(Alyac) 2015.01.05 10:16 신고  수정/삭제

      안녕하세요. 알약입니다. 현재 알약 전용백신으로도 치료가 가능하니, 파일 이름을 변경하셨다면 원래대로 바꾸신 후 알약 사이트(http://alyac.altools.co.kr/SecurityCenter/Analysis/VaccineDownloadView.aspx?id=25)에서 해당 전용백신을 다운로드 받아 검사 및 치료를 부탁 드립니다. 그래도 해결되지 않으면 알약 고객센터(1544-8209, 상담시간 평일 9:00~18:00)로 문의해 주시기 바랍니다. 감사합니다.

티스토리 방명록 작성
name password homepage