본문 바로가기
IT 보안소식

알약(ALYac), 주말에 유포된 악성코드로 인한 부팅 장애 발생 주의(ws2help.dll)

by 잡다한 처리 2011. 7. 4.
반응형

이스트소프트(ESTsoft)사의 보안 프로그램인 알약(ALYac)에서 주말에 유포 된 악성코드로 인하여 부팅장애가 발생되는
현상으로 홈페이지에 공지사항이 올라왔습니다.

해당 내용은 주말에 유포 된 파일 중에서 정상파일인 ws2help.dll 파일을 변조 시키는 악성파일 중 잘못 된 악성파일로 인하여
부팅이 안되는것으로 확인되며, 모든 ws2help.dll 의 문제가 아닌 특정 변종 파일의 
ws2help.dll 로 보여진다.

- 원본링크 : http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=103

안녕하세요?

알약 보안대응팀입니다.


ws2help.dll 을 변조시키는 악성코드 중 특정 변종파일에 감염 될 경우 윈도우 부팅장애가 발생하여

사용자들의 주의가 요구됩니다.


해당 악성코드에 감염되면 나타나는 특징으로는 ws2help.dll 시스템 파일 변조 및 게임 계정 유출 행위 이외에도


▶윈도우 부팅 도중 블루 스크린이 발생하거나


▶검은 화면에 마우스 커서만 보이는 행(hang) 현상이 나타나며


▶안전모드 부팅도 불가능 합니다.


악성코드가 악용하는 보안 취약점은 어도비 플래시 플레이어(Adobe Flash Player)와 MS 인터넷

익스플로러(Internet Explorer) 제품이며, 현재 공식적인 보안 패치가 발표된 상태이므로

반드시 보안 패치를 설치해야 합니다.

<ws2help.dll 파일을 변조하는 악성코드로 인해 블루 스크린이 발생한 화면>

이후 더 이상 윈도우 부팅은 진행이 되지 않고 시스템이 무한 리부팅됨


[치료 방법]

현재 알약에서는 이 악성코드를 Spyware.OnlineGames.ws, S.SPY.OnlineGames.ws 로 진단하고 있으며,
치료 및 제거가 가능합니다.


- 감염된 PC는 재부팅할 경우 윈도우가 정상적으로 부팅되지 않기 때문에 반드시 최신 버전의 알약
으로 먼저 치료합니다.


- 이미 부팅 장애가 발생한 PC는 하드디스크를 다른 정상 PC에 인식시켜 Windows\system32 폴더의 ws2help.dll 파일을
삭제한 후 ws3help.dll의 파일 이름을 다시 ws2help.dll로 변경시켜 복구 가능
합니다.
 

<전용백신 다운로드>


※ 전용백신이 정상적으로 실행되지 않고 응용프로그램 오류가 발생하는 경우, 아래의 vcredist_x86.exe 를 설치하신 후
실행하시기 바랍니다. [vcredist_x86.exe] 다운로드


<알약 공개용 다운로드>

  



[예방 방법]


1) 알약 DB 업데이트 상황을 항상 최신으로 유지해야 합니다.


2) 알약의 실시간 감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.


3) PC에 어도비 플래시 플레이어(Adobe Flash Player)와 MS Internet Explorer의 보안 패치를 설치해야 합니다.


   Adobe Flash Player 최신 버전 설치하기 : http://www.adobe.com/go/getflash


   Windows Update 및 보안 패치 설치 설명 :알약 보안상식 바로가기


[참고 사이트]


- Adobe Flash Player 취약점 (CVE-2011-2110) : www.adobe.com/support/security/bulletins/apsb11-16.html 


- MS Internet Explorer 취약점 (MS11-050, CVE-2011-1255) : 
www.microsoft.com/korea/technet/security/MS11-050.mspx

(ws3help.dll은 정상 윈도우 시스템 파일이고, 악성코드가 이름을 바꾸어 백업한 파일)



댓글