1. 증상
윈도우 XP의 경우, 부팅 후 정상적일 경우 바탕화면 아이콘 및 시작표시줄, 시계 등이 나온다.
[ 부팅후 정상적인(일반적인) 컴퓨터 화면 ]
컴퓨터에 잔뜩 무엇을 설치하였거나 인터넷 연결 문제로 아이콘이 늦게 나오거나 조작이 좀 늦는 경우는 있지만, 아예 아무것도 안 나온다. 다만 마우스는 작동이 가능하지만 마우스 커서가 보여 움직일 수만 있을 뿐 아무런 추가 조치는 못한다.
Alt+Ctrl+Del 키를 눌러 '작업관리자'를 호출해도 아무런 화면도 안 뜨고, 반응도 하지 않는다.
혹시나 해서 시간을 가지고 기다려봐도 마찬가지 바탕화면만 나올뿐 아무런 동작을 하지 않는다.
분명 어제까지 아니, 몇 시간전까지 잘 돌아가던 컴퓨터였다.
[ 악성코드 등에 감염된 컴퓨터의 부팅 후 화면 ]
부팅시 안전모드로 진입해서 무엇인가 조치를 취하려고 해도 역시나 바탕화면만 나올 뿐 아무런 반응을 하지 않는다.
포맷을 해야 하나 걱정을 하기 시작한다.
2. 원인
- 윈도우의 핵심 dll 파일이 변형되었을 가능성이 높다. 그러므로 포맷까지는 안 해도 될 것이다.
특히 다른 dll도 영향을 미칠 수 있으나, 이 경우 ws2help.dll 이 감염이 되어 있을 확률이 대단히 높다.
- Adobe Flash Player(플래시 플레이어)의 버전이 구버전어서 그 취약점을 이용해 바이러스나 악성코드를 퍼트리거나 시스템을 변형시킬 가능성도 있다.
현재 Adobe Flash Player는 버전 10.3.181.34 이 나와 있는 상태이다.
3. 해결책
(1) 이미 dll파일이 감염되어, 조치를 취할 수가 없는 상황이다.
정상적인 컴퓨터가 한 대 더 있거나 또는 부팅가능한 CD나 USB가 필요로 하다.
다른 여분의 정상적인 컴퓨터가 있으면, 감염된(이상 증상이 있는) 컴퓨터의 하드디스크를 떼어 연결해서 아래의 안철수연구소의 v3 전용백신 2개를 이용해서 해당 하드디스크를 검사하자.
아래의 v3 전용백신은 기업에서도 설치 및 사용을 해도 무방한 기업프리웨어이다.
- v3 전용백신 바로 다운 받기
다른 여분의 컴퓨터가 없으면, 부팅 가능한 CD를 구하거나 부팅가능한 USB를 구해와서 v3 전용백신으로 검사를 해야 한다.
내가 감염된 컴퓨터를 살펴본 바로 c:\windows\system32\ws2help.dll 이 감염된 경우가 대다수인 것 같다.
급하면 v3 전용백신을 안 쓰고, 다른 정상적인 컴퓨터에서 ws2help.dll 파일을 복사해서 감염된(이상 증상이 있는) 컴퓨터에 ws2help.dll 을 덮어씌우기 복사를 하면 된다.
감염된 하드디스크를 떼어 살펴보니, ws2help.dll 파일의 크기가 30MB 이상으로 상당히 커져 있다. 원래는 20kb 의 조그마한 크기의 파일인데... 감염이 되니 파일 크기가 커지고, 기존의 정상적인 ws2help.dll 을 ws3help.dll 파일명을 바꾸어 버리는 듯 하다. 그림에서 보듯인 감염된 ws2help.dll 밑에 20kb의 ws3help.dll 파일이 있다.
정상적인 컴퓨터에서는 ws3help.dll 이라는 파일은 존재하지 않는다. 바이러스나 악성코드가 그렇게 파일명을 바꾸어 버린 것이다.
[ 감염된 ws2help.dll : 파일 크기가 30MB 이상이다 ]
- 다른 컴퓨터(정상적인 컴퓨터)에 감염된 하드디스크를 떼어 붙여 검사를 했다.
원래는 C:\WINDOWS 로 검사를 하지만, 감염된 하드디스크가 G드라이버 여서 G:\WINDOWS 로 수정해서 [검사]를 하였다.
[ 검사를 하니까 g드라이버에서 ws2help.dll 파일이 감염되었다고 나온다 ]
- 치료를 하니까 재부팅을 요구한다. 재부팅을 하였다.
재부팅 후, 다시 해당 파일을 살펴보면 정상적으로 20kb의 ws2help.dll 로 돌아와 있으며, ws3help.dll 또한 사라졌다. 사실 ws3help.dll이 ws2help.dll로 바뀌고, 30MB 크기의 ws2help.dll은 삭제된 것이다.
[ 정상적인 ws2help.dll => 치료 완료 / 다시 하드디스크를 연결하면 정상적인 부팅 및 사용 가능 ]
(2) Adobe Flash Player(플래시 플레이어)를 최신 버전으로 업데이트 한다.
플래시 플레이어를 이용해 윈도우 취약점을 공격하고 있으니, 최신 버전으로 늘 업데이트 해 준다.
자세한 다운로드는 아래의 글을 참고하면 된다.
(3) Windows Update(윈도우즈 업데이트) 사이트로 가서 윈도우즈 보안업데이트를 실시한다.
보통 [시작] 누르면 Windows Update 라고 보일 것이다.
아니면 아래의 윈도우즈 보안 업데이트 사이트로 직접 접속을 하면 된다.
(4) 안티바이러스(백신) 프로그램을 설치하여, 전체 검사를 실시한다.
가정에서는 무료백신인 V3Lite나 알약 등으로 전체검사를 한번 하시고, 기업에서는 기업에서 구매한 백신 등으로 전체검사를 실시하면 좀 더 깔끔하게 남은 바이러스나 악성코드들을 제거할 수 있다.
이전 글과 다소 겹치는 부분이 많다. 하지만, 이번만큼은 정말 중요하기 때문에 비슷하지만 여러 글을 적고 있는 것이다.
이런 황당한 경우를 당해 보지 않고서는 말로 설명 할 수가 없다.
중요한 시점이나 급히 일을 처리할 일이 있을 때 이렇게 ws2help.dll 로 인해서 아무것도 할 수 없다면 난감할 것이다.
이번 글과 같은 최악의 경우가 생기지 않도록 미리미리 보안 업데이트나 백신 전체검사는 꼭 자주 실시를 하자~!
댓글