"stop: c000021a unknown hard error" 블루스크린 원인...악성코드 제작자의 실수?

지난 주말에 유포 된 악성코드 중에서 부팅장애를 발생시키는 악성코드가 확인되었다.

부팅장애의 가장 큰 원인은 EAT(Export Address Table)에 Forward 하는 파일명이 실제 생성 된 파일명과 다르기 때문에
정상적인 ws2help.dll의 기능을 수행하지 못해서다.

- 생성 된 파일

C:\Windows\System32\ws2help.dll (변조 된 악성파일)

C:\Windows\System32\ws2helpXP.dll (백업 된 정상파일)

정상적으로 악성파일이 동작한다면 Function Forward 가 ws2helpXP.dll 로 지정되어 있어야 하는데,
해당 악성파일은 wshtcpxp.dll을 가르키고 있다. 이 부분이 악성코드 제작자의 실수로 보여진다.

 

이미 감염 된 PC에서는 ws2help.dll 을 찾을 수 없다는 오류메시지가 계속 발생한다.

 

오류가 나온다고 해서 재부팅을 하게 되면 ws2help.dll을 로드하지 못할 경우 지속적인 블루스크린을 구경할 수 있을 것이다.

<수동 조치 방법>
윈도우 CD의 복구콘솔모드를 이용하여 수동적으로 치료할 수 있다.
(해당 내용은 Windows XP 32Bit에 대한 내용이다. Win7의 경우 다를 수 있음을 참고하길 바란다.)

1. WindowsXP CD를 넣고 부팅, 부팅 중에 "Press any key to boot from CD." 라는 메시지가 나타나면
사라지기 전에 ‘엔터’ 키를 누른다. (물론 Bios에서 CD-Rom 부팅으로 해야한다)

2. R키를 눌러 "Windows XP 복구 모드" 로 진입한다.

3. 키보드의 종류를 선택한다.
(잘 모르겠으면 그냥 Enter를 입력하면 된다.) 

4. 로그인 할 Windows를 선택한다.
(빨간 박스처럼 자신의 PC에 설치 된 Windows 폴더를 선택하면 된다) 

5. Administrator 암호를 입력한다.
(암호가 없다면 Enter를 입력하면 된다.) 

6. "cd system32" 명령어를 통해 system32 폴더로 이동한다.
(cd 명령어는 Change Directory의 약자로 디렉토리, 즉 지정한 폴더로 이동하는 명령어)

7. del 명령어를 사용하여 악성파일인 "ws2help.dll" 을 삭제한다.
(del 명령어는 delete의 약자로 삭제를 의미하는 명령어) 

8. ren명령어를 이용하여 악성파일이 백업시켜두었던 w2helpXP.dll 을 ws2help.dll로 이름을 변경한다.
(ren 명령어는 rename의 약자, 즉 이름을 바꾸는 명령어) 

9. "exit" 를 입력 후 다시 윈도우로 접속하면 된다.

복구 모드로 부팅이 된다고 해도, 꼭 다시 보안프로그램을 설치하여 최신업데이트 후 정밀 검사를 하길 바란다.