울지않는벌새 : Security, Movie & Society

wshtcpip.dll 시스템 파일 변조를 통한 인터넷뱅킹 악성코드 감염 주의 (2014.12.11)

벌새::Security

최근 농협, 신한은행 인터넷뱅킹 서비스를 이용하려고 접속한 사용자 중에서 정상적인 시스템 파일명(WSHTCPIP.DLL)을 가진 "C:\Windows\System32\wshtcpip.dll" 파일이 악성 코드에 감염되었다는 메시지 창이 생성되어 오류가 발생하는 문제로 고생하는 경우가 있는 것으로 보입니다.

INISAFE SandBox [웹 브라우저 보안]

 

운영체제 구성 파일이 훼손되어 있습니다. 악성 코드에 감염 되어 있을 수 있습니다.
(대상 파일 : C:\Windows\System32\wshtcpip.dll)
보안을 위해 웹 브라우저를 종료 합니다.
백신 검사는 물론 본 사이트에서 배포하는 보안 모듈을 완전히 삭제 하신 후 재접속하시기 바랍니다.
이 현상이 반복될 경우 시스템 관리자에게 문의해 주시길 바랍니다.

해당 경고 메시지를 해석해보면 인터넷뱅킹 악성코드에 감염된 경우 정상적인 "C:\Windows\System32\WSHTCPIP.DLL" 시스템 파일<Winsock2 도우미 DLL (TL/IPv4)>을 악성 파일로 바꿔치기하는 수법임을 알 수 있으며, 이로 인하여 백신을 이용한 치료 및 사용자가 직접 해결하는데 많은 어려움을 유발하고 있습니다.

이에 알약(ALYac) 블로그에서는 "C:\Windows\System32\WSHTCPIP.DLL" 시스템 파일을 변조하는 악성코드 감염에 대해 사용자가 직접 수정할 수 있는 방법을 Windows XP 운영 체제를 기준으로 설명하고 있습니다.(※ Windows XP 운영 체제는 2014년 4월 이후부터 보안 패치를 제공하지 않고 있으므로 절대로 Windows XP 운영 체제를 이용하여 인터넷뱅킹을 하지 마시기 바랍니다.)

하지만 대다수 PC 사용자들이 사용하는 Windows 7, Windows 8.1 운영 체제 환경에서는 다소 다른 방식으로 사용자가 직접 문제를 해결해야 방법을 제시하고 있으므로 관련 정보를 참고하여 해결해 보시기 바랍니다.

 

특히 핵심이 되는 변조된 "C:\Windows\System32\wshtcpip.dll"을 치료하기 위한 방법을 Windows 7 운영 체제 기준으로 다시 한 번 정리해 드리도록 하겠습니다.(※ 안전 모드(F8)에서 진행하시길 권장합니다.)

  1. 변조된 "C:\Windows\System32\wshtcpip.dll" 악성 파일의 확장자를 wshtcpip.dll-Malware 형태로 변경하시기 바랍니다.
  2. 감염 전에 존재하던 정상적인 "C:\Windows\System32\WSHTCPIP.DLL" 시스템 파일이 백업으로 저장되어 기능을 수행하는 "C:\Windows\System32\ws2tcpip.dll" 파일(※ 해당 파일은 차후 변종 악성코드에 의해 파일 이름이 변경될 수 있습니다.)을 찾아 파일명을 WSHTCPIP.DLL 파일로 변경하시기 바랍니다.
  3. 파일명을 변경한 후에는 반드시 Windows 재부팅을 진행하시기 바랍니다.
  4. "C:\Windows\System32\wshtcpip.dll-Malware" 악성 파일을 찾아 삭제하시기 바랍니다.

해당 증상의 원인은 사용자의 시스템이 취약점(Exploit)을 이용한 감염 방식 또는 사용자의 부주의에 의해 설치된 국내 광고 프로그램(PUP)로 인해 감염이 이루어지며, 다음과 같은 방식으로 사전 예방할 수 있습니다.

 

■ 취약점(Exploit)을 이용한 악성코드 감염 예방 방법

 

취약점(Exploit)을 이용한 악성코드 감염은 사용자가 PC에 설치된 프로그램(※ Microsoft Windows, Internet Explorer, Adobe Flash Player, Adobe Reader, Oracle Java, Microsoft Silverlight 등)을 항상 최신 버전으로 사용하여 예방할 수 있지만, 여전히 상당수 PC 사용자들은 보안에 취약한 구버전을 사용하여 자동 감염의 빌미를 제공하여 평소 방문하는 웹 사이트에 접속하는 행위만으로 자동으로 감염될 수 있습니다.

이런 문제로 인하여 보안 업체에서는 취약점(Exploit) 차단 도구를 무료로 배포하고 있으므로, 소개하는 바이로봇 APT Shield 2.0, 알약 익스플로잇 쉴드(ALYac Exploit Shield), Malwarebytes Anti-Exploit 제품 중 하나를 백신 프로그램과 함께 사용하시면 시스템을 보호하는데 많은 도움을 받을 수 있습니다.

 

■ 국내 광고 프로그램(PUP)을 이용한 악성코드 감염 예방 방법

 

일반적으로 광고 프로그램은 인터넷 검색 및 웹 사이트 접속시 광고창을 생성하는 동작을 통해 사용자에게 불편을 주는 방식이지만, 광고 프로그램 운영 업체 서버가 해킹을 당하여 악성 파일을 뿌리는 통로로 악용되고 있는 경향이 강해지고 있습니다. 또한 광고창 생성 과정에서 취약점(Exploit)을 이용한 악성코드 감염이 이루어질 수도 있습니다.

 

광고 프로그램을 백신 프로그램에서 애드웨어(Adware) 진단으로 제거를 해주면 좋지만 현실은 법적인 문제로 무조건 진단이 이루어지지 않고 있으며, AhnLab V3 365 Clinic 유료 제품이 아닌 무료 백신들은 광고 프로그램에 대한 진단이 전혀 이루어지지 않는게 현실입니다.

 

그러므로 사용자 PC에 설치된 광고 프로그램이 무엇인지 제어판에 등록된 프로그램 이름을 기반으로 검색하여 삭제를 하는 방식이 가장 현실적인 방법입니다.

특히 (주)이스트소프트(ESTsoft) 업체에서 제공하는 체크잇(CheckIt : www.checkitinfo.com) 프로그램은 제어판에 등록된 프로그램에 대한 평판 정보와 사용자 의견을 기반으로 광고 프로그램을 쉽게 찾아 삭제할 수 있도록 지원하고 있으므로 잘 활용하시기 바랍니다.

 

지만 일부 악성 광고 프로그램은 사용자가 제어판을 통한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않고 설치를 하거나, 제어판을 통해 프로그램을 삭제한 이후에도 지속적으로 동작하도록 제작된 경우도 많습니다.

이런 경우에는 공지 내용처럼 Runscanner 프로그램을 이용하여 울지않는벌새 블로그에 문의를 해주시면 메일 답변 및 원격 지원을 통해 도움을 드리고 있으므로 많은 이용을 부탁 드립니다.