[157] [추천팁]벅스에서 감염되는 악성코드 [tcp.exe] (winpds)

본 게시물에 대한 어떠한 책임도지지 않습니다.

www.gjcd.com

No, 157

2004/7/24(토)

[추천팁]벅스에서 감염되는 악성코드 [tcp.exe]

벅스에 들어가서 노래듣고 난뒤 부터 이상한 증상
(익스 새창 안뜸, 인터넷 속도 저하 시킴, 메모리 잡아먹고 버티고 있음, 프로세서를 죽여도 부팅
후 다시 메모리 처먹고 죽치고 있음...무섭고도 귀찮은 넘 ㅡㅡ^)이 생겼서
여기 저기 알만한 사이트 다 뒤지고, 안철수에도 질문 보내놓고, 마지막으로 아는 선배한테 물어
드니 치료법을 가르쳐 주더군요. 벅스 들어갔다가 이런 증상을 보이는데도 치료법을 모르시는 유
저들을 위해 팁을 올리려고 했는데, 이미 올려져 있네요. 다행이죠...
그래도 종합적으로 한번 정리한다는 차원에서 관련자료 링크도 걸고 했어 총정리 해봅니다.

(안철수연구소 답변
TCP.EXE와 WINSYSTEM.EXE는 특정 스트리밍 음악 사이트에서 배포한 액티브 X 컨트롤에 포
함되어 있다. WINSYSTEM.EXE 파일은 특정 사이트에서 최신 버전의 TCP.EXE 파일을 다운로
드 해 온다. TCP.EXE 파일은 포털 사이트에 입력되는 검색어를 수집해가는 트랙웨어(Trackwar
e) 프로그램이다. 안철수연구소는 트랙웨어는 직접적인 개인정보를 유출하지 않으므로 트로이목
마로 분류하지 않고 진단하지 않는다... 안철수연구소에서의 답변 내용인데, 이해할수 없는 말이
네요. 머가 직접적이 아니라는 건지?? 어째든 악성코드인건 분명합니다.)

신종 웜 악성코드 [tcp.exe]

이름 : tcp.exe
다른이름 : Trojan.DownLoader.442, WINSYSTEM.EXE

1. 종류 : 신종 웜 악성코드(포트스캔하는 백도어 프로그램)

2. 감염/설치 경로 : 액티브X 컨트롤

3. 현재 알려진 감염경로 : 벅스 뮤직플레이어 업데이트 후에 생김

4. 위치 :
사용자의 윈도우 시스템 폴더(95/98/ME는 C:\Windows\System,
윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.)
에 다음 파일이 만들어 진다.
- TCP.EXE (49,152 바이트) : 포털 사이트의 검색 키워드 수집
- WINSYSTEM.EXE (28,672 바이트) : TCP.EXE 파일 최신 버전으로 자동 업데이트

5. 작성된 프로그램언어 : 비쥬얼 베이직

6. 시스템에 끼치는 영향 :
(1) 수Mb~십수Mb의 메모리를 사용하면서 메모리에 상주함.
(2) winsystem.exe에 의해 특정주소로부터 자동으로 TCP.EXE가 업데이트 됨.
(3) 시스템의 랜덤 포트를 사용하여 특정 IP의 80번 포트로 접속 시도함.
(4) 통신을 위해 특정 UDP포트를 열어젖힘.
(5) 특정사이트에서 사용자가 입력하는 검색어를 수집 전송함.

7. 알려진증상 :
(1) 익스플로러에서 새창이 안뜸
(2) 인터넷 속도저하
(3) 작업관리자에서 프로세서를 죽여도 재부팅후 계속 살아남.

8. 치료백신 : 현재 없음

안철수 연구소 v3로 발견 안됨.

노턴 안티바이러스200x 에서도 발견안됨.

각종 스파이웨어 제거프로그램들에서도 못잡음.

단, 바이러스체이x에서 winsystem.exe를 Trojan.Downloader.442로 인식

[수동치료법-확실한 방법 ]

1. ctrl+Alt+Del 키를 눌러서 작업관리자를 연다음에 프로세서 탭을 누룬후 tcp.exe를 찾아서 마우
스 우클릭해서 나온 메뉴중에 "프로세서 끝내기"를 클릭해서 tcp.exe의 실행을 종료시킨후 작업
관리자 창을 닫는다.

2. 윈도우키+E 를 이용해 탐색기를 연후
c:\windows\system32\에 있는 tcp.exe와 winsystem.exe를 찾아서 지운후 탐색기를 닫는
다.

3. ctrl+R 키눌러서 실행창을 띠운후에 regedit를 입력, 레지스트리 편집창을 띠운다.

4. 레지스트리 편집창이 뜬 상태에서 ctrl+F 를 이용해 레지검색창을 연후 tcp.exe라고 입력후 검
색해서 나온 모든 tcp.exe관련 레지를 지운후 레지편집창을 닫는다.

5. 마지막으로 ctrl+R을 이용해 실행창을 띠운후 msconfig를 입력해서 시스템 구성 유틸리티를 띠
운후 제일 마지막 탭에있는 시작프로그램을 클릭해서 나온 아래의 프로그램명중에
시작항목이름이 winsystem 이라고 되어있는 앞의 체크표시를 없앤다.

6. 재부팅한후 작업관리자를 열어서 프로세서부분을 연후 tcp.exe가 실행되는지 확인해본다.

7. tcp.exe가 더이상 보이지 않으면 치료가 된것이다.

혹시나 갑자기 인터넷 속도저하현상이 나타나시는분들 ctrl+Alt+Del 키를 눌러서 작업관리자를 연
후
tcp.exe라는 프로세서가 실행중인지 지금바로 점검해 보세요.

번호	제목	작성일	조회
159	[추천팁]DCOM 이벤트 10005 오류문제	2004-07-24	906
158	[추천팁]컴퓨터별 BIOS 설정 키	2004-07-24	618
157	[추천팁]벅스에서 감염되는 악성코드 [tcp.exe]	2004-07-24	434
156	[추천팁]리니지2 나 온라인 게임등에서 블루스크린 발생시	2004-07-24	569
155	[윈도9x]98se 최소설치로 단시간내에 설치하기	2004-07-24	438
154	[윈도2k3]msn 로그인 안될때 (0x81000370) 에러	2004-07-24	448
153	[윈도2k3]Windows2003에서 WIA 장치 사용하기	2004-07-24	500
152	[추천팁]여러개의 mp3화일을 1개의 mp3화일로 병합하는 방법	2004-07-24	335
151	[추천팁]xxx에 있는 명령이 xxx의 메모리를 참조	2004-07-24	467
150	[추천팁]appcompat.txt가 에러라고 뜨는 익스플로러 오류해결	2004-07-24	777