본문 바로가기

벌새::Security

wshtcpip.dll 시스템 파일 변조를 통한 인터넷뱅킹 악성코드 감염 주의 (2014.12.11)

최근 농협, 신한은행 인터넷뱅킹 서비스를 이용하려고 접속한 사용자 중에서 정상적인 시스템 파일명(WSHTCPIP.DLL)을 가진 "C:\Windows\System32\wshtcpip.dll" 파일이 악성 코드에 감염되었다는 메시지 창이 생성되어 오류가 발생하는 문제로 고생하는 경우가 있는 것으로 보입니다.

INISAFE SandBox [웹 브라우저 보안]

 

운영체제 구성 파일이 훼손되어 있습니다. 악성 코드에 감염 되어 있을 수 있습니다.
(대상 파일 : C:\Windows\System32\wshtcpip.dll)
보안을 위해 웹 브라우저를 종료 합니다.
백신 검사는 물론 본 사이트에서 배포하는 보안 모듈을 완전히 삭제 하신 후 재접속하시기 바랍니다.
이 현상이 반복될 경우 시스템 관리자에게 문의해 주시길 바랍니다.

해당 경고 메시지를 해석해보면 인터넷뱅킹 악성코드에 감염된 경우 정상적인 "C:\Windows\System32\WSHTCPIP.DLL" 시스템 파일<Winsock2 도우미 DLL (TL/IPv4)>을 악성 파일로 바꿔치기하는 수법임을 알 수 있으며, 이로 인하여 백신을 이용한 치료 및 사용자가 직접 해결하는데 많은 어려움을 유발하고 있습니다.

이에 알약(ALYac) 블로그에서는 "C:\Windows\System32\WSHTCPIP.DLL" 시스템 파일을 변조하는 악성코드 감염에 대해 사용자가 직접 수정할 수 있는 방법을 Windows XP 운영 체제를 기준으로 설명하고 있습니다.(※ Windows XP 운영 체제는 2014년 4월 이후부터 보안 패치를 제공하지 않고 있으므로 절대로 Windows XP 운영 체제를 이용하여 인터넷뱅킹을 하지 마시기 바랍니다.)

하지만 대다수 PC 사용자들이 사용하는 Windows 7, Windows 8.1 운영 체제 환경에서는 다소 다른 방식으로 사용자가 직접 문제를 해결해야 방법을 제시하고 있으므로 관련 정보를 참고하여 해결해 보시기 바랍니다.

 

특히 핵심이 되는 변조된 "C:\Windows\System32\wshtcpip.dll"을 치료하기 위한 방법을 Windows 7 운영 체제 기준으로 다시 한 번 정리해 드리도록 하겠습니다.(※ 안전 모드(F8)에서 진행하시길 권장합니다.)

  1. 변조된 "C:\Windows\System32\wshtcpip.dll" 악성 파일의 확장자를 wshtcpip.dll-Malware 형태로 변경하시기 바랍니다.
  2. 감염 전에 존재하던 정상적인 "C:\Windows\System32\WSHTCPIP.DLL" 시스템 파일이 백업으로 저장되어 기능을 수행하는 "C:\Windows\System32\ws2tcpip.dll" 파일(※ 해당 파일은 차후 변종 악성코드에 의해 파일 이름이 변경될 수 있습니다.)을 찾아 파일명을 WSHTCPIP.DLL 파일로 변경하시기 바랍니다.
  3. 파일명을 변경한 후에는 반드시 Windows 재부팅을 진행하시기 바랍니다.
  4. "C:\Windows\System32\wshtcpip.dll-Malware" 악성 파일을 찾아 삭제하시기 바랍니다.

해당 증상의 원인은 사용자의 시스템이 취약점(Exploit)을 이용한 감염 방식 또는 사용자의 부주의에 의해 설치된 국내 광고 프로그램(PUP)로 인해 감염이 이루어지며, 다음과 같은 방식으로 사전 예방할 수 있습니다.

 

■ 취약점(Exploit)을 이용한 악성코드 감염 예방 방법

 

취약점(Exploit)을 이용한 악성코드 감염은 사용자가 PC에 설치된 프로그램(※ Microsoft Windows, Internet Explorer, Adobe Flash Player, Adobe Reader, Oracle Java, Microsoft Silverlight 등)을 항상 최신 버전으로 사용하여 예방할 수 있지만, 여전히 상당수 PC 사용자들은 보안에 취약한 구버전을 사용하여 자동 감염의 빌미를 제공하여 평소 방문하는 웹 사이트에 접속하는 행위만으로 자동으로 감염될 수 있습니다.

이런 문제로 인하여 보안 업체에서는 취약점(Exploit) 차단 도구를 무료로 배포하고 있으므로, 소개하는 바이로봇 APT Shield 2.0, 알약 익스플로잇 쉴드(ALYac Exploit Shield), Malwarebytes Anti-Exploit 제품 중 하나를 백신 프로그램과 함께 사용하시면 시스템을 보호하는데 많은 도움을 받을 수 있습니다.

 

■ 국내 광고 프로그램(PUP)을 이용한 악성코드 감염 예방 방법

 

일반적으로 광고 프로그램은 인터넷 검색 및 웹 사이트 접속시 광고창을 생성하는 동작을 통해 사용자에게 불편을 주는 방식이지만, 광고 프로그램 운영 업체 서버가 해킹을 당하여 악성 파일을 뿌리는 통로로 악용되고 있는 경향이 강해지고 있습니다. 또한 광고창 생성 과정에서 취약점(Exploit)을 이용한 악성코드 감염이 이루어질 수도 있습니다.

 

광고 프로그램을 백신 프로그램에서 애드웨어(Adware) 진단으로 제거를 해주면 좋지만 현실은 법적인 문제로 무조건 진단이 이루어지지 않고 있으며, AhnLab V3 365 Clinic 유료 제품이 아닌 무료 백신들은 광고 프로그램에 대한 진단이 전혀 이루어지지 않는게 현실입니다.

 

그러므로 사용자 PC에 설치된 광고 프로그램이 무엇인지 제어판에 등록된 프로그램 이름을 기반으로 검색하여 삭제를 하는 방식이 가장 현실적인 방법입니다.

특히 (주)이스트소프트(ESTsoft) 업체에서 제공하는 체크잇(CheckIt : www.checkitinfo.com) 프로그램은 제어판에 등록된 프로그램에 대한 평판 정보와 사용자 의견을 기반으로 광고 프로그램을 쉽게 찾아 삭제할 수 있도록 지원하고 있으므로 잘 활용하시기 바랍니다.

 

지만 일부 악성 광고 프로그램은 사용자가 제어판을 통한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않고 설치를 하거나, 제어판을 통해 프로그램을 삭제한 이후에도 지속적으로 동작하도록 제작된 경우도 많습니다.

이런 경우에는 공지 내용처럼 Runscanner 프로그램을 이용하여 울지않는벌새 블로그에 문의를 해주시면 메일 답변 및 원격 지원을 통해 도움을 드리고 있으므로 많은 이용을 부탁 드립니다.

  • 황혜영 2015.01.19 13:52 댓글주소 수정/삭제 댓글쓰기

    파일이름을 malware 변경하는것 까지는 했는데요
    C:\Windows\System32\ws2tcpip.dll" 파일이 찾아도 없어서요 어떻게 해결해야 하나요? ㅠㅠ
    결제할때 마다 창이 떠서 불안하네요

    • 수동으로 해결할 수 없는 경우에는 전용 백신을 사용해 보시기 바랍니다.

      https://www.ahnlab.com/kr/site/download/product/productVaccineList.do

      76번 전용 백신으로 검사 및 치료하시기 바랍니다.

  • kitchy 2015.06.12 01:36 댓글주소 수정/삭제 댓글쓰기

    확장자 변경하려니까 권한이 없다고 나와요ㅜㅋㅋ 검색해보니까 권한 받을 수 있는 프로그램을 또 다운로드해야하던데, 이렇게 해서 확장자명 변경하면 될까요?

    • 권한 변경 프로그램이 있다는 말은 처음 들어봅니다. 이 문제를 해결하시려면 윈도우 부팅시 관리자 계정으로 로그인하여 진행하시기 바랍니다.

  • kichy 2015.06.12 02:14 댓글주소 수정/삭제 댓글쓰기

    하.. 너무 어렵네요 ㅜㅜ 망할 신한은행 ㅜㅜ
    근데 관리자권한으로 부팅은 어떻게 하는건가요..ㅜ 자꾸 여쭤봐서 죄송해요...ㅜ

    • 제가 말한 관리자 계정은 윈도우 계정을 말합니다. 만약 사용하시는 윈도우 계정이 1개로만 부팅시 로그인되는 방식이라면 무언가 해당 악성코드 제거시 잘못하시는 것이 아닌가 싶습니다.

      그게 아니라 관리자 계정이 아닌 Guest 또는 표준 계정으로 수정할 경우에는 관리자 권한을 요구할 수 있을 듯합니다.

      그러므로 수동으로 해결이 어려우시면 AhnLab과 같은 보안 업체에서 제공하는 (전용) 백신을 이용하여 정밀 검사를 통해 치료하시기 바라며, 혹시 모르니 수정시 안전 모드에서 진행해 보시기 바랍니다.

  • malware파일 변경후 재부팅해서 해당 파일 삭제했는데요 그래도 똑같은 에러메시지가 뜹니다ㅠ ws2파일명도 변경했는데 이 파일은 삭제가안되고요ㅠ

    • 해당 내용이 오래되어서 최근에 유포되는 것과는 다를 수 있습니다.

      https://www.ahnlab.com/kr/site/download/product/productVaccineList.do

      전용 백신 자료실에서 V3 GameHack Kill 파일을 다운로드하여 정밀 검사를 해보시기 바랍니다.

  • ㅜㅜ? 2015.12.08 23:08 댓글주소 수정/삭제 댓글쓰기

    76번 전용 백신으로 검사했는데 바이러스가 없다고 뜨네요ㅠㅠ? 어찌된건지...
    제가 지금 인터넷으로 원서를 여러개 접수해야하는데.. 하면 안될까요 ㅜㅜ?
    큰일났네요 급한데..

    • 전용 백신은 실시간 감시 백신을 사용하지 못할 경우에 이용하는 것입니다.

      그러므로 어떤 백신을 사용하시는지 모르지만 실시간 감시 기능을 제공하는 백신 프로그램(평소 설치해 둔 백신)이나 다른 유명 백신으로 정밀 검사를 하시기 바랍니다.

      만약 현재 사용하는 것으로 해결되지 않는다면 http://www.kaspersky.com/antivirus-removal-tool?form=1&ICID=Free_Tools_Win_KVRT_Download_Global 수동 검사 도구를 이용하여 검사해 보는 것도 좋습니다.

      프로그램 사용법은 http://hummingbird.tistory.com/5827 링크를 참고하시기 바랍니다.

  • ㅜㅜ? 2015.12.08 23:34 댓글주소 수정/삭제 댓글쓰기

    감사합니다! 일단 지인에게 부탁해서 한숨은 돌렸네요 ㅠㅠ