"stop: c000021a unknown hard error" 블루스크린 원인...악성코드 제작자의 실수?



지난 주말에 유포 된 악성코드 중에서 부팅장애를 발생시키는 악성코드가 확인되었다.

부팅장애의 가장 큰 원인은 EAT(Export Address Table)에 Forward 하는 파일명이 실제 생성 된 파일명과 다르기 때문에
정상적인 ws2help.dll의 기능을 수행하지 못해서다.


- 생성 된 파일

C:\Windows\System32\ws2help.dll (변조 된 악성파일)

C:\Windows\System32\ws2helpXP.dll (백업 된 정상파일)

정상적으로 악성파일이 동작한다면 Function Forward 가 ws2helpXP.dll 로 지정되어 있어야 하는데,
해당 악성파일은 wshtcpxp.dll을 가르키고 있다. 이 부분이 악성코드 제작자의 실수로 보여진다.

 


이미 감염 된 PC에서는 ws2help.dll 을 찾을 수 없다는 오류메시지가 계속 발생한다.

 

오류가 나온다고 해서 재부팅을 하게 되면 ws2help.dll을 로드하지 못할 경우 지속적인 블루스크린을 구경할 수 있을 것이다.




<수동 조치 방법>
윈도우 CD의 복구콘솔모드를 이용하여 수동적으로 치료할 수 있다.
(해당 내용은 Windows XP 32Bit에 대한 내용이다. Win7의 경우 다를 수 있음을 참고하길 바란다.)

1. WindowsXP CD를 넣고 부팅, 부팅 중에 "Press any key to boot from CD." 라는 메시지가 나타나면
사라지기 전에 ‘엔터’ 키를 누른다. (물론 Bios에서 CD-Rom 부팅으로 해야한다)




2. R키를 눌러 "Windows XP 복구 모드" 로 진입한다.




3. 키보드의 종류를 선택한다.
(잘 모르겠으면 그냥 Enter를 입력하면 된다.) 




4. 로그인 할 Windows를 선택한다.
(빨간 박스처럼 자신의 PC에 설치 된 Windows 폴더를 선택하면 된다) 




5. Administrator 암호를 입력한다.
(암호가 없다면 Enter를 입력하면 된다.) 




6. "cd system32" 명령어를 통해 system32 폴더로 이동한다.
(cd 명령어는 Change Directory의 약자로 디렉토리, 즉 지정한 폴더로 이동하는 명령어)




7. del 명령어를 사용하여 악성파일인 "ws2help.dll" 을 삭제한다.
(del 명령어는 delete의 약자로 삭제를 의미하는 명령어) 




8. ren명령어를 이용하여 악성파일이 백업시켜두었던 w2helpXP.dll 을 ws2help.dll로 이름을 변경한다.
(ren 명령어는 rename의 약자, 즉 이름을 바꾸는 명령어) 




9. "exit" 를 입력 후 다시 윈도우로 접속하면 된다.




복구 모드로 부팅이 된다고 해도, 꼭 다시 보안프로그램을 설치하여 최신업데이트 후 정밀 검사를 하길 바란다.



댓글(8)

  • 썌근빠근
    2012.02.22 16:13

    윈도우7도 올려주세요 ㅠㅠㅠ 전혀 몰랏는데 갑자기 블루스크린이 뜨네ㅛㅇ ;;

    • 2012.02.28 01:43 신고

      테스트 결과 윈7에서는 해당 사항이 발견되지 않네요^^;
      정확히 말씀드리면 윈7에서는 해당 악성코드가 감염되지 않습니다 ㅎㅎ

  • 우와
    2012.02.28 00:25

    정말 감사합니다!! 해결했어요~컴퓨터 수리공 부를뻔했는데.. 덕분에 집에서 천재라는 칭찬까지 받았네요ㅋㅋㅋ

  • ㅋㅋㅋㅋㅋㅋㅋㅋ
    2012.03.03 17:30

    알약이랑 님이 최고!
    두분다 감사합니다~

  • suhnj12
    2012.07.25 12:52

    난 왜 윈도시디넣고하는데도 계속 블루스크린이뜰까요 ㅠㅠ 틀린건가 스누피는 ㅠㅠ

Designed by JB FACTORY