본문영역
최근 정상파일을 변경하여 악의적인 목적으로 사용되는 경우가 매우 많이 일어나고 있기 때문에 해당 내용은 이슈는 아니다.
그래도 이 포스팅을 쓰는 이유는 기존에 나왔던 파일과는 다른 파일명을 사용하여서 "기록용" 으로 포스팅을 한다.
wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : 65892C620E536CA2A6DAFD004A3ABB19
Size : 19968 Byte
- Windows XP sp3 (ver 5.1.2600.5512)
MD5 : 0B14DFD82A538CF8933435397DBC4925
Size : 19456 Byte
- Windows7 sp1 (ver 6.1.7600.16385)
MD5 :EE5C8E27C37B79CB54A2FCEEED2DC262
Size : 9216 Byte
- 정상파일과 악성파일의 비교
정상파일 wshtcpip.dll 의 크기는 약 19KB 이며, 새롭게 생성 된 wshtcpip.dll 악성파일의 크기는 80KB 이다.
악성 wshtcpip.dll 의 경우는 원본파일의 코드를 가지고 있지 않아서 백업 한 wshtcpxp.dll 파일의 Export Table을 참조한다
이에 따른 악성파일 분석은 다음에...To Be Continued...!!
wshtcpip.dll은 기본적인 Windows에 들어가 있는 정상파일로써, 최근 악성코드에 의해 변조되어 악의적인 행위로 사용되고 있다.
<정상파일 정보>
파일명 : wshtcpip.dll (Windows Sockets Helper DLL)
파일위치 : C:Windowssystem32
- Windows XP sp2 (ver 5.1.2600.2180)
MD5 : 65892C620E536CA2A6DAFD004A3ABB19
Size : 19968 Byte
- Windows XP sp3 (ver 5.1.2600.5512)
MD5 : 0B14DFD82A538CF8933435397DBC4925
Size : 19456 Byte
- Windows7 sp1 (ver 6.1.7600.16385)
MD5 :EE5C8E27C37B79CB54A2FCEEED2DC262
Size : 9216 Byte
- 정상파일과 악성파일의 비교
정상파일 wshtcpip.dll 의 크기는 약 19KB 이며, 새롭게 생성 된 wshtcpip.dll 악성파일의 크기는 80KB 이다.
악성 wshtcpip.dll 의 경우는 원본파일의 코드를 가지고 있지 않아서 백업 한 wshtcpxp.dll 파일의 Export Table을 참조한다
* 생성파일
C:WINDOWSsystem32wshtcpip.dll (변조 된 정상파일-악성)
C:WINDOWSsystem32wshtcpxp.dll (백업 된 정상파일)
C:WINDOWSsystem3220122415341.dll (백업 된 정상파일)
C:WINDOWSsystem32safemon.dll (BHO에 등록 되는 악성파일, 사용자 ID/PW를 가로채는 스파이웨어)
C:Documents and Settings[사용자계정]Local SettingsTemp20122415341.dll (악성 wshtcpip.dll 의 백업파일)
이에 따른 악성파일 분석은 다음에...To Be Continued...!!
Copyright ⓒ 처리. 무단전재 및 재배포 금지
처리의 블로그에 놀러오세요^^
처리님의 다른 포스트
아직 댓글이 없습니다.
악성코드소식 safemondll wshtcpipdll wshtcpxpdll 정상파일변조 변조된 사이트를 이용한 정상파일wshtcpipdll을 수정하는 악성파일
