• 보안 Issue / 보안 Tip
  • 보안 이슈, 팁, 다양한 보안소식을 mail로 받아보세요!
Wshtcpip.dll 변조 바이러스 치료 안내
글번호 185 | 2013-05-25 추천수 0 | 조회 11581

ws2help.dll 파일이 변조되어 한창 이슈가 되었었는데요,
wshtcpip.dll 파일의 변조도 나타나고 있습니다..

Wshtcpip.dll 파일 정보

 

"C:\WINDOWS\system32\wshtcpip.dll" 파일은 원래 정상적인 Window 구성 파일입니다. 하지만 이 파일을 변조하여 PC 사용자들의 정보를 탈취하고, 불편을 겪게 하고 있습니다. 이는 IE와 Flash Player ActiveX 보앆 취약점을 이용해 전파되는 바이러스입니다.

Wshtcpip.dll 파일 바이러스 확인 방법.

정상인 wshtcpip.dll 파일을 wshtcpxp.dll 로 변경 시킨 뒤, 다시 악성파일인 wshtcpip.dll 파일로 대신하기 때문에 wshtcpxp.dll 라는 이름의 파일이 있다면 감염되었다고 볼 수 있습니다.


[그림 1]

추가적으로 system32 폴더 앆에 safemon.dll 파일과 감염시간 정보가 기록되는 20122464134.dll 파일이 생성됩니다. Safemon.dll 파일은 BHO에 등록이 됩니다.


[그림 2]


[그림 3]

국산 온라인 게임의 경우 해당 게임 사이트에 접속해서 게임을 실행하는 형태를 띄고 있기 때문에 이러한 과정에서 입력되는 아이디와 비밀번호를 탈취하기 위한 것으로 보입니다..


[그림 4]

또, 이 악성코드에 감염되게 되면 특정 서버로 접속해 시스템의 MAC 주소와 운영체제 버전을 전송합니다. 현재 해당 IP 및 URL은 동작하지 않습니다. 일반적으로 온라인 게임핵 악성코드 유포에 사용되는 URL과 IP주소는 몇 일 동앆만 사용되고 대부분 폐기됩니다.

Wshtcpip.dll 바이러스 수동 조치 방법

안전모드로 부팅 후
변조된 "C:\WINDOWS\system32\wshtcpip.dll"wshtcpip.dll 이름을 바꾸면, 자동으로 본래의 파일로 돌아오게 됩니다.
하지만 본래의 파일로 돌아오지 않을 경우 또는 파일크기가 19.5KB가 아닐 시, wshtcpxp.dll (감염시 정상파일 백업본)을 바탕화면으로 복사하여, 이름을 바꾼 뒤 다시 system32 폴더에 붙여넣기 해주세요.

깨끗한 PC를 위한 점검 사항

  1. 윈도우 업데이트를 주기적으로 한다.
  2. 플래시 플레이어 패치를 최신 버전으로 유지한다.
  3. 터보백신의 실시간 감시 기능을 켜둔다.
  4. 터보백신의 업데이트를 항상 최신으로 유지한다.
  5. 인터넷 사용기록, 쿠키 등은 자주 삭제 해준다.
  6. 컴퓨터 사용자 계정이 비밀번호는 9자 이상 (영문자, 특수문자, 숫자의 조합) 으로 한다.
이전글 윈도우 업데이트 구성 실패시 조치 방법
다음글 내 PC의 스파이, 변종바이러스_ws2help.dll
댓글달기
현재 0/최대 400byte(한글 200자, 영문 400자)
  댓글달기
2018.11.13 화요일
오늘의 보안 지수
맑음
관련제품
기업/개인 유료
개인 무료
  • 터보백신 Lite
  • 전국민이 사랑하는 터보백신의
    라이트버전
TurboVaccine 고객센터개인정보취급방침
Copyright ⓒEveryzone, Inc. All Rights Reserved.