날씨가 제법 더워지면서 야외로 나들이 겸 외출을 나가시는 분들이 많으신데요.
산이나, 논으로 친환경적인 장소로 나들이가시는 분들이 늘어나면서야생 진드기에 대한 이슈도 커지고 있습니다.


면역력이 약한 분들께 물리면 치명적인 이 살인 진드기와 같이, 관리가 잘 되지 않은 PC에 감염을 일으켜 작동하는 변종 바이러스가있습니다.
바로 wshtcpip.dll 파일 변조 바이러스 입니다.
온라인게임핵 악성코드의 일종으로, 앞서 알아보았던 ws2help.dll 파일 변종 바이러스와비슷한 형식으로 생각하시면 됩니다.
온라인 게임 핵에 대한 설명과 같은 형태의 변종 바이러스에 대해 정보를 얻고 싶으시다면 아래의 링크를참고해주시기 바랍니다.
링크 : 내 PC의 스파이,변종바이러스_ws2help.dll

 

1. Wshtcpip.dll 파일 변종 바이러스..? 무엇인가요 ?
   Wshtcpip.dll 파일은 원래 정상적인Windows 구성 파일입니다.
   하지만 이 파일을 변조하여 PC사용자들의 정보를 탈취하는 등의 불편을 겪게 하고 있습니다.
   이는 Internet Explorer 와 Flash Player Active X 보안취약점을 이용해 전파되는 바이러스입니다.
2. 감염은 어떻게 확인할 수 있나요? 어떤 변화가 있는지 알고 싶어요.
   Wshtcpip.dll 바이러스의 경우 온라인 게임 핵 기능과 백신 무력화 기능을합니다.
   또한 정상인 wshtcpip.dll 파일을 wschtcpxp.dll 로 변경시킨 뒤, (뒤빨간 글자는 랜덤하게 배치됩니다.)
    다시 악성파일인 wshtcpip.dll 파일로 대신하기 때문에 C:\WINDOWS\system32\폴더에 wshtcpxp.dll 라는 이름의 파일이 있다면 감염을 의심해 볼 수 있습니다.
   
   
   (wshtcpip.dll의 정상파일 크기는 윈도우 OS마다 조금씩 다릅니다)
   추가적으로 system32 폴더 안에 safemon.dll 파일과 감염시간 정보가 기록되는20122464134.dll 파일이 생성됩니다.
   (safemon.dll 파일의 이름이kakubi.dll 등등 여러 이름으로 저장되기도 합니다. 또한 2012~ 파일이름도 랜덤으로 생성됩니다.)
   
   
   국내 온라인 게임은 대부분 게임 사이트에 접속하여 게임을 실행하는 형태를 띄고 있기 때문에 이러한 과정에서 입력되는 아이디와 패스워드를 탈취하기 위한 것으로 보입니다.
   
   
   또, wshtcpip.dll 바이러스에 감염되게 되면 특정서버로 접속하여 시스템의 MAC 주소와 운영체제 버전을 전송합니다.
   현재 해당 IP 및 URL은동작하지 않지만 그렇다고 안심해서는 안됩니다.
   일반적으로 온라인 게임핵 악성코드 유포에 사용되는 URL과 IP주소는 몇 일 동안만 사용되다가 대부분 폐기됩니다.
3. Wshtcpip.dll 을 어떻게 처리해야 하나요? 조치방법을 알려주세요.
   (조치를 하시기전에 반드시 주의하셔야 합니다.!!!)
   해당 작업은 윈도우의 중요한 구성파일이 담긴 system32 폴더에서의작업입니다.
   해당 폴더 안의 구성파일이 하나만 잘못 없어져도 부팅도 하지 못한 채 블루스크린을 출력할 수 있습니다.
   따라서, 반드시 차례에 맞게 순서대로 빠짐없이 주의하시어 진행하여 주시기 바랍니다.
   (예시 그림은 Windows 7의 환경입니다.)
   1. 윈도우 탐색기를 엽니다.잘 모르시겠다면 [내컴퓨터]를 실행합니다.
   2. C:\WINDOWS\system32 경로로 이동합니다.
      
      
   3. 상단의 “이름” 이라고 써있는 제목을한번 눌러주세요. 폴더 안의 파일이 이름 순으로 정렬됩니다.
      (ABC 순으로 정렬해주시면 됩니다.)
      
      
   4. 스크롤을 wsh~로 시작하는 파일이 보일 때까지 쭉 내려주세요.
      ( Windows 폴더의system32 폴더는 시스템을 구성하는 중요한 파일이 들어있습니다. 반드시 조심히 다루어주시기 바랍니다.)
   5. wsh~로 시작하는 파일을 찾으셨다면 아래와 같이 wshtcdpip.dll 파일을 쉽게 찾으실 수 있을겁니다.
      
      
   6. wshtcpip.dll와는 달리 wshtcpxp.dll, wshtcptk.dll 등 뒤 두 글자가 다른 이름으로 되어있는파일이 있고 5번 사항의 위 그림과 같이 수정된 날짜와 파일 크기가 차이가 있다면 감염되어있을 확률이높습니다.
      (아래의 조치방법에서는 보다 쉬운 설명을 위하여 대표적으로 wshtcpxp.dll로 설명하겠습니다. )
      (중요)
   
   
   7. 아래의 사항을 주의하여 진행하여주시기 바랍니다.
      1) wshtcpip.dll 파일을 [마우스 오른쪽 버튼 클릭] -> [이름 바꾸기]를 통하여 “wshtcpip.dll_virus”라는 이름으로 바꾸어 주시기 바랍니다.
      2) 그 후 “새로고침” (키보드의[F5]) 버튼을 클릭하신 후 다시 상단의 “이름” 버튼을 눌러 ABC 순으로 정렬되게 한 후 wshtcpip.dll 파일이 생성되었는지 확인하여 주시기 바랍니다.
      (윈도우 system32의경우 파일을 자동으로 복원하는 기능이 있습니다. 따라서 “새로고침”을 누르시면 정상적인 파일이 생성되는 경우가 많습니다.)
      3) 생성되었다면 wshtcpxp.dll 파일의 크기와 새로 생성된 wshtcpip.dll 파일의 크기가 같은지 확인하시기 바랍니다.
      - 파일 크기가 같다면? 정상적으로복원된 경우입니다. 5)번 사항부터 진행하여주시기 바랍니다.
      - 파일 크기가 다르다면? 복원하고자보관해두었던 파일까지 감염된 경우이므로 이 경우에는 4)번 사항부터 진행하여주시기 바랍니다.
      생성되지 않았다면 다음 4)번 사항부터 진행하여주시기 바랍니다.
      4) wshtcpxp.dll 파일에 [마우스오른쪽 버튼 클릭] -> [이름 바꾸기]를 통하여 파일이름을 wshtcpip.dll 로 바꾸어 주시기 바랍니다.
      (스펠링이나 철자를 틀려서는 안됩니다.)(주의 !)
      5) 컴퓨터를 재 부팅 합니다.
      6) 윈도우 탐색기를 열어 wshtcpip.dll_virus 파일을 삭제합니다.
   8. 터보백신 제품을 통해 정밀검사를 진행합니다. 그래야 BHO에 등록되어 계정탈취를 시도하는 파일과 나머지 잔해파일들을 깔끔하게 처리하실 수 있습니다.
   9. 처리 완료 !
4. Wshtcpip.dll 변종 바이러스를 예방하려면 ?
   1. OracleJava 업데이트, Adobe 업데이트, Windows 업데이트를 최신으로 유지해주셔야합니다. -> 최신 업데이트를 유지하여 주시는 것만으로도 PC가안전합니다.
   2. 터보백신을 통해 실시간 감시 기능을항상 켜두시고 바이러스 패턴 업데이트를 최신으로 유지해주셔야 합니다.
   3. 터보백신의 정밀검사를 적어도 일주일에한번 진행 해주셔야 합니다.
   4. PC 계정의 암호를 숫자+영문자+특수문자의 조합으로 9자이상 설정 해주셔야 합니다.
   5. 신뢰하지 않는 사이트의 Active X 나 파일의 다운로드 시 주의하셔야 합니다.