<출처> 처리의 블로그
정상적인 시스템 파일인 ws2help.dll 를 변조하는 악성코드 중 기존 악성코드와는 달리 변종된 악성파일로써
해당 파일에 감염 될 경우 윈도우 부팅 장애가 발생하니 아무쪼록 감염되지 않도록 주의하자~!
☞ ws2help 관련 포스트 보기
| <감염증상> 1. 온라인 게임 계정 유출 (기존 악성코드와 동일) 2. 인터넷 익스플로러 강제 종료 (기존 악성코드와 동일) 3. 윈도우 부팅 시 블루 스크린 발생되어 부팅 장애 (변종 악성코드) 4. 안전모드로 부팅 불가 (변종 악성코드) |
해당 악성코드는 MS 취약점과 Adobe Flash Player 취약점을 이용하여 감염이 되며,
현재 공식적인 보안 패치가 나와있다.
| <참고 사이트> 1. Microsoft 보안업데이트(2011년06월15일) http://www.microsoft.com/korea/technet/security/Bulletin/ms11-jun.mspx |
패치 하지 않으신 분들은 감염 시 재부팅 되면 아래와 같은 무시무시한 화면을 보시게 된다.
| <조치방법 No.1> - 감염 시 1. 백신 최신버전으로 업데이트 하자 (현재 대부분 백신에서 탐지된다.) 2. 변조된 ws2help.dll 파일을 임의의 파일명으로 변경한 후 원본파일을 ws2help.dll 로 변경한다. 3. 재부팅 후 변조 된 악성파일을 삭제한다. <조치방법 No.2> - 부팅 장애 발생 시 1. 부팅 장애가 발생한 PC에서는 윈도우 CD를 이용하여 복구모드로 들어간다. 2. 로그온 할 windows 설치 선택 부분에 "1" 을 선택한 후 명령어 모드로 들어간다. 3. system32 폴더 위치에서 아래의 명령어를 입력한다. > del wsh2lp.dll > ren ws3help.dll ws2help.dll > exit <조치방법 No.3> - 복구 CD가 없을 시 1. PC에서 하드디스크를 떼어 다른 PC에 Slave로 연결한다. 2. 감염 PC의 시스템폴더(c:\windows\system32)의 ws2help.dll을 삭제한다. 3. 변경된 원본파일의 이름을 변경한다. (ws3help.dll -> ws2help.dll) 4. 원래의 PC에 하드디스크를 연결한 후 재부팅 한다. |
★ 감염되기 전에 최신 보안 패치를 생활화 하자~
'할롬::컴터 > 악성코드소식' 카테고리의 다른 글
| [악성코드소식] Space와 Tab키를 이용한 보이지 않는 JavaScript를 이용한 악성코드 유포 (2012.1.1) (0) | 2012.01.03 |
|---|---|
| [분석툴] JSUNPACK :: JavaScript Unpack 사이트 (0) | 2011.10.05 |
| [악성코드소식] 시스템 파일 변조하는 악성스크립트 주의~! (0) | 2011.06.24 |