본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

주말에 유포된 악성코드로 인한 부팅 장애 발생 주의

보안공지 2011-07-04

안녕하세요. 이스트소프트 알약 보안대응팀입니다.
ws2help.dll 을 변조시키는 악성코드 중 특정 변종파일에 감염 될 경우 윈도우 부팅장애가 발생하여 PC 사용자들의 주의가 요구됩니다.


해당 악성코드에 감염되면 나타나는 특징으로는 ws2help.dll 시스템 파일 변조 및 게임 계정 유출 행위 이외에도
▷ 윈도우 부팅 도중 블루 스크린이 발생하거나
▷ 검은 화면에 마우스 커서만 보이는 행(hang) 현상이 나타나며
▷ 안전모드 부팅도 불가능 합니다.


악성코드가 악용하는 보안 취약점은 어도비 플래시 플레이어(Adobe Flash Player)와 MS 인터넷 익스플로러(Internet Explorer) 제품이며, 현재 공식적인 보안 패치가 발표된 상태이므로 반드시 보안 패치를 설치해야 합니다.



ws2help.dll 파일을 변조하는 악성코드로 인해 블루 스크린이 발생한 화면

<ws2help.dll 파일을 변조하는 악성코드로 인해 블루 스크린이 발생한 화면>


 

블루스크린이 발생한 후 더이상 윈도우 부팅은 진행이 되지 않고 시스템이 무한 리부팅 됩니다. 현재 알약에서는 이 악성코드를 Spyware.OnlineGames.ws, S.SPY.OnlineGames.ws 로 진단하고 있으며, 치료 및 제거가 가능합니다.


 

[치료 방법]


1) 감염된 PC는 재부팅할 경우 윈도우가 정상적으로 부팅되지 않기 때문에 반드시 최신 버전의 알약 으로 먼저 치료합니다.
2) 이미 부팅 장애가 발생한 PC는 하드디스크를 다른 정상 PC에 인식시켜 Windows\system32 폴더의 ws2help.dll 파일을 삭제한 후 ws3help.dll의 파일 이름을 다시 ws2help.dll로 변경시켜 복구 가능합니다. (ws3help.dll은 정상 윈도우 시스템 파일이고, 악성코드가 이름을 바꾸어 백업한 파일임.)


 

[전용백신 다운로드]


전용백신 다운로드

[예방 방법]


1) 알약 DB 업데이트 상태를 항상 최신으로 유지해야 합니다.
2) 알약의 실시간 감시 및 자가보호 기능을 항상 활성화 하여, 악성코드의 감염을 사전에 차단합니다.
3) PC에 어도비 플래시 플레이어(Adobe Flash Player)와 MS Internet Explorer의 보안 패치를 설치해야 합니다.
Adobe Flash Player 최신 버전 설치하기 : http://www.adobe.com/go/getflash


 

[참고 사이트]


- Adobe Flash Player 취약점 (CVE-2011-2110) :
www.adobe.com/support/security/bulletins/apsb11-16.html
- MS Internet Explorer 취약점 (MS11-050, CVE-2011-1255) :
www.microsoft.com/korea/technet/security/bulletin/ms11-050.mspx