[부팅 장애 악성코드] 부팅 장애 악성코드 치료법 및 전용 백신 다운!!


7월 첫째 주말부터 부팅 장애를 발생하는 악성코드(ws2help.dll)가 급속히 확산되어, 많은 분들이 피해를 입고 있습니다.
알약 보안 대응팀에서 제시한 치료법 및 전용 백신 다운 방법 전문입니다.
확인해 보시고 컴퓨터의 안전을 지키시길 바랍니다. 

 

---

요즘 IT 관리자들의 대응이 어려운 틈을 노려 주말을 이용한 악성코드 유포가 극성입니다.

 

갑자기 부팅이 안 되신다면 아래 내용을 한번 확인해 보세요. 

 

정상 시스템 파일(ws2help.dll)을 변조시키는 악성코드 중 특정 변종파일에 감염 될 경우

윈도우 부팅장애가 발생하고 있습니다. ws2help.dll 악성코드 감염 증상과 해결 방법에 대해 알아보겠습니다.

 

<ws2help.dll 감염 시 증상>

* 윈도우 부팅 도중 블루 스크린이 발생(부팅장애)

* 검은 화면에 마우스 커서만 보이는 행(hang) 현상 발생

* 안전모드 부팅도 불가능

  <ws2help.dll 파일을 변조하는 악성코드로 인해 블루 스크린이 발생한 화면, 

 이후 더 이상 윈도우 부팅은 진행이 되지 않고 시스템이 무한 리부팅됨.>

 

 

<내 PC에 이 악성코드가 있는지! 지금 바로 확인해 보세요!>

1. 최신버전의 알약으로 정밀검사를 실시합니다.

현재 알약에서는 이 악성코드를 Spyware.OnlineGames.ws, S.SPY.OnlineGames.ws 로 진단하고 있으며, 

치료 및 제거가 가능합니다.

이와 같은 탐지 항목이 나오면 '치료하기'를 눌러 주시면 됩니다.

 

※ 감염된 PC는 절대 재부팅 금지! 재부팅시 무한 리부팅 증상이 나타납니다. 알약으로 치료부터 해주세요 ※

 

 

알약 설치 안내

가정 사용자분들 중 알약이 없으신 분들은 다음의 알약 공개용을 설치하시면 됩니다.

 

> 알약 2.0 공개용 beta 버전 다운로드

 

알약 2.0 베타 버전 사용을 원치 않으시는 분은 다음의 알약 1.55버전을 설치해 주시기 바랍니다.

 

> 알약 1.55 공개용 다운로드 : http://alyac.altools.co.kr/Public/Download/PublicDownload.aspx

 

기업, 공공기관에서는 아래의 체험판을 설치해 주시기 바랍니다.

> 알약 2.5 기업용 체험판 다운로드 http://alyac.altools.co.kr/Enterprise/Download/EntDownload.aspx

> 알약 2.0 공공기관용 체험판 다운로드 http://alyac.altools.co.kr/Enterprise/Download/PubDownload.aspx

* 혹시 이미 설치해 둔 알약 실행이 안 된다면? 
   다음 안내를 확인해 주세요. http://blog.naver.com/altools/150111243391

 

2. 전용 백신을 통해, ws2help.dll만 검사하고 치료하고 싶은 경우

위 링크에서 전용 백신을 다운 받아 주세요.

 

3. 정밀 검사 결과 감염 항목이 없다면?

 

① 알약 DB 업데이트 상황을 항상 최신으로 유지해 주세요.

 

② 알약의 실시간 감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.

 

③ 다음 안내해 드리는 어도비 플래시 플레이어(Adobe Flash Player)와 MS 인터넷 익스플로러
  (Internet Explorer)의 보안패치를 꼭 설치해 주시기 바랍니다.
   최근 어도비 플래시 플레이어(Adobe Flash Player)와 MS 인터넷 익스플로러(Internet Explorer)의 보안취약점을 노린
   악성코드가 굉장히 기승을 부리고 있는 만큼, 굉장히 중요한 사항입니다.

 

> Adobe Flash Player 수동 업데이트: http://get.adobe.com/kr/flashplayer/

* Adobe Flash Player 업데이트 방법 자세히 보기: http://blog.naver.com/altools/150113078258

 

> MS 인터넷 익스플로러(Internet Explorer) 업데이트

  (익스플로러 업데이트는 윈도우를 통해 이루어지기 때문에 윈도우 보안센터를 통해 최신버전으로 업데이트 하시면 됩니다)

* 윈도우 XP - 윈도우 업데이트 방법 http://blog.naver.com/altools/150110935295

* 윈도우 7 윈도우 업데이트 방법 http://blog.naver.com/altools/150110941431

 

[참고 사이트]

- Adobe Flash Player 취약점 (CVE-2011-2110)

 : www.adobe.com/support/security/bulletins/apsb11-16.html

 

- MS Internet Explorer 취약점 (MS11-050, CVE-2011-1255)

 : www.microsoft.com/korea/technet/security/MS11-050.mspx

 

 

<ws2help.dll 악성코드 감염으로 블루스크린 Unknown Hard Error만 뜨는 경우 해결방법>

 

ws2help.dll 감염 후 재부팅을 한 경우 수동으로 조치를 해 주셔야 합니다.

이 경우는 물리적인 절차를 통하여 감염 된 하드 디스크에 접근하여야 합니다.

 

- 해결 방법 -

1.     하드디스크를 분리하여, 정상적인 작동을 하는 컴퓨터에 Slave로 연결 시킨다. (slave 점퍼 세팅 필수)

2.     CMOS셋업에서 하드디스크가 정상적으로 인식 되었는지 확인한다.

3.     인식 확인 후, 설정을 SAVE하고 CMOS셋업에서 빠져 나온다.

4.     정상 컴퓨터의 윈도우로 부팅을 한다.

5.     내 컴퓨터 – 감염된 하드디스크(ex. F:, h: 드라이브) – windows\system32\ws2help.dll와 ws3help.dll 
 파일을 찾는다.

6.     ws2help.dll 파일을 삭제한다. (마우스 오른쪽 – 속성)을 살펴보면, 약 32MB의 파일 크기를 확인할 수 있다.

7.     ws3help.dll 파일의 이름을 ws2help.dll로 변경한다.

8.     최신버전의 알약을 사용하여 정밀 검사를 실행한다.

9.     수동 치료한 하드디스크를 원래의 컴퓨터에 연결한다. (Master 점퍼 셋팅 필수)

10.   정상적으로 작동하는지 확인한다.

 #1. 점퍼 세팅

각 핀의 위치에 따른 master, slave 셋팅 방법을 설명해 놓은 설명도이며,

하드 디스크 전면에 보시면 아래와 유사한 모양의 그림을 발견 할 수 있습니다.

일반적인 경우 제일 왼편이 master, 점퍼를 뺐을 경우 slave 입니다.

#2. CMOS세팅

                                                                                                                    사진 출처 : www.flicker.com

CMOS 셋업은 부팅 시 Del 키 또는 F12키를 연타함으로써 진입 할 수 있습니다. 다만 메인보드의 종류에 따라

진입 방법이 다를 수 있기 때문에, 부팅시 나오는 메시지를 확인해 보시기 바랍니다.

CMOS 셉업에 성공적으로 진입을 하였다면, 위와 같은 화면을 찾아 보실 수 있습니다.

(메인보드 BIOS 종류에 따라 CMOS 셋업의 화면이 약간씩 다를 수 있으나, 대부분의 메뉴는 비슷한 구성으로 되어있음)

노란 박스가 둘러져 있는 영역을 확인해 보시고 제대로 인식이 되었다면, 세이브 하고 재부팅을 해주시면 됩니다.

(위 사진은 Master, slave가 다 연결 되어있는 상태입니다.)

악성코드 감염 예방을 위해 알약 최신 버전으로 업데이트를 하는 습관 및 실시간 감시 기능을 On!으로 해주십시오.

이와 더불어 윈도우 업데이트와 플래시 플레이어 보안패치도 빠짐없이 해 주시기를 권장합니다. 

 
 
 
 
                                                                                                                   - 이스트소프트 알약 (alyac.co.kr)