1. 감염경로 : 대부분의 경우 윈도우 보안 취약점, Adobe Flash Player, Java, Internet Explorer의 취약점을 이용하는 악성코드가 삽입되어져 있는 웹 사이트를 통해 사용자 PC로 감염이 이루어진다.


※ 발견일자 : 2013.12.15


2. 감염루트 : C:\Windows\System32\wshtcpip.dll(파일 변조)


3. 정상파일과 감염파일 MD5 값 비교 및 Virustotal 진단 결과


정상파일 : C:\Windows\System32\wshtcpip.dll 링크

MD5 : ee5c8e27c37b79cb54a2fceeed2dc262






악성파일 : C:\Windows\System32\wshtcpip.dll 링크

MD5 : e60c49c27d28381bdf576e1deb785d1f




4. 파일 간단 분석 

   1) Anti-Virus 제품군 무력화 시전(레지스트리 감시 및 무력화 + 서비스 감시 및 무력화<루트킷>)



아래의 목록들은 악성코드가 감시하는 AV 관련 프로세스들입니다. 


      (1) Ahnlab V3 Lite 제품 : V3LRun.exe, V3LTray.exe, V3LSvc.exe, 

      (2) Ahnlab V3 Internet Security 제품 : V3Up.exe V3SP.exe Mupdate2.exe,V3SVC.exe

      (3) Ahnlab SiteGuard 제품 : sgsvc.exe, sgui.exe, sgrun.exe

      (4) Ahnlab ASP : MYSFTY.exe

      (5) Ahnlab Online Security(키보드 보안 모듈) : Aosrts.exe

      (6) Antivir 제품 : avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, 

                        avupgsvc.exe, avwsc.exe

      (7) Avast 제품 : avastsvc.exe, ashupd.exe, avastui.exe

      (8) AVG 제품 : avgam.exe, avgemc.exe, avgnsx.exe, avgrsx,exe, 

                    avgfrw.exe, avgwdsvc.exe, avgupd.exe

      (9) BitDefender 제품 : updatesrv.exe, seccenter.exe, bdagent.exe, 

                            bdagent.exe, bdreinit.exe

      (10) Eset : egui.exe, ekrn.exe

      (11) Kaspersky(카스퍼스키) 제품 : Avp.exe

      (12) McAfee : shstat.exe, udaterui.exe, mctray.exe

      (13) MSE : msseces.exe

      (14) Symantec Norton : ccsvchst.exe, navw32.exe

      (15) Telus(캐나다산 백신으로 보임) : vsserv.exe

      (16) 네이버 백신 : NSVMon.npc, Nsavsvc.npc,NaverAgent.exe

      (17) 알약 : AYRTSRV.aye, AYupdsrv.aye, ayagent.aye

    

   2) 웹브라우저 감시 및 종료 기능


  

 

     (1) 파이어폭스(Firefox.exe)

     (2) 구글 크롬(Chrome.exe)

     (3) MS Internet Explorer(iexplore.exe)


   3) 특정 프로세스 창 감시 및 계정 탈취 기능

      

  

     (1) Neople 사의 "Dungeon & Fighter"

     (2) Nexon 사의 "MapleStory"

     (3) Nexon 사의 "Elsword

     (4) 엔씨소프트 사의 "Lineage"

     (5) 네이버의 "네이버 클리너"




4. 파일 치료 방법


현재까지 발견한 wshtcpip.dll을 진단하는 전용백신이 없기 때문에... 일단 안철수연구소, 알약 쪽으로는 추가 업뎃 문의해놓은 상태이다. 차후에 전용백신이 올라면 다시 수정 ㄱㄱ함.




<< 야매 방법 >>  


그냥 간단히 생각해서 백신 무력화 대상이 아닌 백신을 이용하여 진단/치료를 한다. 아래의 백신 경우 그닥 유명하지도 않고 특정 회선 사용자만 쓸 수 있다보니 아무래도 보편성 쪽에서 악성코드 유포자가 판단하여 무력화 대상에 포함시키지 않은 것으로 보인다만 그냥 모른 것 같다. 모르는게 좋을 듯...

 단, 아래의 백신 경우 본인이 쓰는 회선에 해당되는 백신만 다운받을 수 있지 그 외의 회선은 안 된다. 본인이 무슨 회선 쓰는지 모르면서 다운이 안된다고는 하지 말자. 제발


    (1) KT 회선을 쓰는 사용자는 KT에서 제공하는 쿡! 닥터(알약하고 인터페이스 비슷함)를 이용하여 진단/치료를 한다. 


http://doctor.internet.olleh.com/part4/main.jsp



    (2) LG U+ 회선을 쓰는 사용자는 U+ 인터넷 V3(Ahnlab V3과 비슷함)를 이용하여 진단/치료를 실시한다.


http://www.uplus.co.kr/ent/iwifi/IWIV3Serv.hpi?mid=5140




만일 위의 방법이 써먹히지 않는다면 아래의 수동 조치 방법을 이용한다.




<< 간략  수동 조치 방법 >>

   (1) C:\Windows\System32\에 들어가 악성코드로 감염된 wshtcpip.dll을 wshtcpip.dll.jpg 식으로 다른 이름으로 바꾼다.


   (2) 인터넷에서 자신의 운영체제와 알맞은 wshtcpip.dll를 다운받아 System32\에 복사한다.

       <<이 경우는 WFP 기능에 의해 정상 wshtcpip.dll이 생성되지 않았을 때


   (2) 재부팅 후 wshpcpip.dll.jpg(파일 이름 바꾼 것)을 삭제한다.

Posted by Ec0nomist

댓글을 달아 주세요

  1. ♥♥

    관리자의 승인을 기다리고 있는 댓글입니다

    2015.06.11 22:15 [ ADDR : EDIT/ DEL : REPLY ]