본문 바로가기

벌새::Analysis

WinSocketA.dll 파일을 이용한 LSP(Layered Service Provider) 변경을 하는 악성코드 유포 주의 (2012.7.1)

반응형

최근 마이크로소프트(Microsoft)사에서는 Microsoft XML Core Services 취약점을 이용하여 Internet Explorer 웹 브라우저를 이용하여 변조된 웹 사이트에 접속시 원격 코드 실행이 가능한 제로데이(0-Day) 취약점을 이용한 악성코드 유포가 2012년 5월경에 보고되어 현재 보안 패치를 준비하고 있는 상태입니다.

 

  Microsoft 제로데이 취약점 : CVE-2012-1889 (2012.6.13)

 

하지만 해당 CVE-2012-1889 취약점 코드가 공개되면서 이번 주말 다양한 웹 사이트를 통해 온라인 게임 계정 탈취 또는 백도어(Backdoor) 설치 목적으로 감염을 유발하는 행위가 확인되고 있는 상태입니다.

 

특히 이번에 유포되는 악성 파일은 과거 악성 파일 감염 기법 중 하나인 LSP(Layered Service Provider) 영역을 변조하여 백신 프로그램을 통한 치료 이후에도 인터넷이 연결되지 않는 문제가 발생할 수 있습니다.

 

이에 감염으로 인한 인터넷 연결이 되지 않는 문제를 수동으로 해결할 수 있는 방법을 살펴보도록 하겠습니다.

 

  <처리의 블로그> 주말 변조사이트로 인한 "Trojan.JS.QRG(search.htm)" 주의!! (2012.6.30)

 

테스트에 활용된 유포 관련 정보는 보안 전문가이신 처리님 블로그 내용을 참고하시기 바라며, 해당 악성코드로부터 근본적인 감염을 예방하기 위해서는 Adobe Flash Player 및 Oracle JRE 프로그램을 항상 최신 버전으로 유지하시기 바랍니다.

 

또한 CVE-2012-1889 제로데이(0-Day) 취약점은 현재 공식 보안 패치가 나와 있지 않은 상태이므로 마이크로소프트(Microsoft)사에서 제공하는 임시 Fix it 툴(Microsoft Fix it 50897)을 다운로드하여 설치하시기 바랍니다.

 

해당 악성코드는 보안 패치가 제대로 이루어지지 않은 상태로 감염을 유발하는 웹 사이트에 접속시 자동으로 감염이 이루어지며, 최종적으로 다운로드된 파일(MD5 : 01556b4bf7ce86651c2f3d348ba7076a)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.OnlineGameHack (VirusTotal : 22/42) 진단명으로 진단되고 있습니다. 

이 때 사용자 PC에 AhnLab V3, 알약(ALYac) 등의 보안 제품이 진단되지 않도록 할 목적으로 C 루트 경로에 랜덤(Random)한 드라이브 파일(.sys)을 생성하여 백신을 무력화한 후 자신은 삭제 처리가 되는 것을 확인할 수 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWSSSkReU8.sys :: 자가 삭제
 - MD5 : 567f509c29af66f7488c4c0b8d3832f5
 - AhnLab V3 : Backdoor/Win32.AntiAV (VirusTotal : 8/42)

※ 해당 파일명은 랜덤(Random)하게 생성됩니다.

 

C:\WINDOWS\system32\WinSocketA.dll
 - MD5 : b85953da1fe30fc5f79e8cbf5e07e844
 - nProtect : Trojan/W32.Forwarded.Gen (VirusTotal : 17/41)

 

또한 실질적인 악의적 기능을 가진 "C:\WINDOWS\system32\WinSocketA.dll" 파일을 생성하여, 다양한 프로세스에 추가하며 자신을 LSP(Layered Service Provider) 영역에 추가하는 동작을 수행합니다. 

우선 "C:\WINDOWS\system32\WinSocketA.dll" 악성 파일의 속성값을 확인해보면 ws2help.dll 시스템 파일(Windows Socket 2.0 Helper for Windows NT)로 위장하고 있는 것을 확인할 수 있습니다. 

해당 악성 파일은 지정된 웹 사이트 및 온라인 게임 실행시 계정 정보를 수집하여 국내에 위치한 m71.88999dafadafd.com(111.92.188.25) 서버로 전송하는 동작을 확인할 수 있습니다.

 

그 외에 알약(ALYac), AhnLab V3, AhnLab SiteGuard, 네이버 백신(Naver Vaccine)에 대한 무력화 기능이 포함되어 있습니다.

 

LSP(Layered Service Provider)는 Winsock 2 API에 등록된 dll 파일(C:\WINDOWS\system32\mswsock.dll, C:\WINDOWS\system32\rsvpsp.dll 등)을 호출하여 통신을 시도하며, 사용자 시스템 환경에 따라 내용이 일부 다를 수 있습니다. 

LSP(Layered Service Provider) 레지스트리 값은 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9"이며, 그림에서와 같이 감염 전 상태에서는 Catalog_Entries 하위값에 13개를 포함하고 있습니다. 

해당 LSP 값의 세부 정보를 살펴보면 그림과 같은 파일 모듈로 연결되어 외부와 통신을 하게 되도록 구성되어 있습니다. 

그런데 감염으로 인해 변경된 LSP 레지스트리 값을 확인해보면 13개에서 16개의 엔트리 값으로 변경된 것을 확인할 수 있습니다. 

세부적으로 확인해보면 붉은색으로 표시한 "Catalog_Entries\000000000001", "Catalog_Entries\000000000002", "Catalog_Entries\000000000016" 값이 감염으로 인해 생성된 "C:\WINDOWS\system32\WinSocketA.dll" 악성 모듈로 연결이 이루어진 것을 확인할 수 있습니다.

 

이를 통해 감염된 환경에서 사용자가 인터넷을 이용하는 과정에서 TCP/IP, UDP/IP 프로토콜을 통해 통신이 이루어지는 패킷 정보를 중간에서 가로챌 수 있으며, 이번 사례의 경우에는 WinSocketA.dll 파일에 등록된 다음의 웹 사이트에 대해서만 정보가 수집됩니다.

  1. teencash.co.kr
  2. dk.halgame.com
  3. aion.plaync.co.kr
  4. mabinogi.nexon.com
  5. kr.battle.net
  6. df.nexon.com
  7. hangame.com
  8. netmarble.net
  9. pmang.com

또한 그 외의 LSP 레지스트리 값의 변화를 확인해보면 "Catalog_Entries\000000000001" 값 영역에 "Catalog_Entries\000000000001(WinSocketA.dll), Catalog_Entries\000000000002(WinSocketA.dll), Catalog_Entries\000000000003(mswsock.dll)" 값이 추가되었으며, "Catalog_Entries\000000000002(mswsock.dll) → Catalog_Entries\000000000004(mswsock.dll)"로 변경되는 방식입니다.

 

해당 LSP 감염으로 인해 사용자가 체감하는 부분은 존재하지 않지만, 일부 백신 프로그램이 "C:\WINDOWS\system32\WinSocketA.dll" 악성 파일을 진단하여 치료를 하는 과정에서 단순히 파일 삭제만을 한 후에는 인터넷에 연결되지 않는 치명적인 문제가 발생합니다.

 

이런 문제를 해결하기 위해서 수동으로 파일 제거 및 변경된 LSP(Layered Service Provider) 레지스트리 값을 복구하는 방법에 대해 살펴보도록 하겠습니다.

 

(1) 우선 LSP 수정을 위해서 해외에서 제작된 "LSP-Fix 1.1" 프로그램을 사전에 다운로드하시기 바랍니다.

 

참고로 해당 프로그램이 제작된 년도가 오래 전이므로 제작사 홈 페이지는 변경되거나 사라진 것으로 보이므로, 반드시 해외 SoftPedia 공개 자료실에서 다운로드 하시기 바랍니다.

 

일부 이런 파일을 블로그에 업로드하여 악성 파일을 추가할 수 있으므로 블로그 등에서 다운로드하지 않도록 주의하시기 바랍니다.

 

(2) "C:\WINDOWS\system32\WinSocketA.dll" 파일의 확장자명을 변경한 후 시스템 재부팅을 진행하시기 바랍니다.(예시 : WinSocketA.dll-Malware) 

시스템 재부팅을 한 후 윈도우가 실행되면 그림과 같이 시스템 트레이 알림 아이콘에서는 느낌표 모양의 통신 아이콘이 생성되어 로컬 영역 연결이 되지 않는다고 표시를 합니다. 

또한 실제 인터넷 웹 사이트에 접속해보면 그림과 같이 웹 페이지를 표시할 수 없다는 메시지를 볼 수 있습니다.

 

(3) 파일 확장자명을 변경한 "C:\WINDOWS\system32\WinSocketA.dll-Malware" 악성 파일을 찾아 삭제하시기 바랍니다. 

"C:\WINDOWS\system32\WinSocketA.dll" 악성 파일을 제거한 후의 LSP 값을 확인해보면 해당 모듈로 연결하였던 "Catalog_Entries\000000000001", "Catalog_Entries\000000000002", "Catalog_Entries\000000000016" 값에서 파일을 발견할 수 없다는 표시됩니다.

 

이로 인하여 인터넷 연결을 시도할 경우 TCP/IP, UDP/IP 프로토콜이 정상적인 기능을 할 수 없게 되므로 (1)번에서 다운로드한 "LSP-Fix 1.1" 프로그램을 이용하여 해당 LSP 레지스트리 값을 다음과 같이 수정하시기 바랍니다.

 

■ LSP-Fix 1.1 프로그램 사용 방법

 

참고로 해당 프로그램 사용으로 인해 시스템에 문제가 발생하여 인터넷 연결이 되지 않는 부분에 대해서는 책임지지 않습니다. 

다운로드된 LSP-Fix 1.1 프로그램의 압축을 해제한 후, 내부의 LSPFix.exe 파일을 실행하면 그림과 같은 "LSP-Fix" 프로그램 창이 생성됩니다.

 

해당 창에서 이미 Remove 영역에는 삭제된 WinSocketA.dll 악성 파일이 등록되어 있으므로 "I know what I'm doing(or enjoy re-installing my operation system...)" 박스에 체크를 하시기 바랍니다.

 

만약 WinSocketA.dll 파일이 Keep 영역에 위치하고 있는 경우에는 해당 파일을 선택하여 ">>" 버튼을 클릭하여 Remove 영역으로 이동시키시기 바랍니다.

 

모든 준비가 완료된 후에는 "finish>>" 버튼을 클릭하시면 자동으로 "Repair summary" 창을 통해 3개의 프로토콜 프로바이더 엔트리(Protocol provider entries) 값이 삭제되었으며, 13개의 값에 대해 번호가 수정되었다는 내용을 표시합니다.

 

이는 감염으로 인해 WinSocketA.dll 모듈이 등록한 3개의 값을 삭제한 것을 의미하며, 감염 전의 13개 값이 가진 번호(Catalog_Entries\000000000001 ~ Catalog_Entries\000000000013)로 수정이 이루어졌다는 의미입니다.

 

(4) "확인" 버튼을 클릭하시면 자동으로 LSP-Fix 프로그램은 종료되며, 사용자는 반드시 시스템 재부팅을 진행하시기 바랍니다. 

감염 이전 상태와 치료가 완료된 LSP 레지스트리 값을 비교해보면 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\
Protocol_Catalog9"
키 값의 "Num_Catalog_Entries, Serial_Access_Num" 하위 값만이 수정되지 않았을 뿐 인터넷을 이용하는데 아무런 문제가 없는 것을 확인할 수 있습니다.

 

위와 같은 절차에 따라 악성코드 감염으로 인해 변경된 LSP(Layered Service Provider) 레지스트리 값 수정을 통해 정상적으로 인터넷 연결이 이루어지도록 하였습니다.

 

모든 절차가 완료된 사용자는 반드시 국내외 유명 백신 프로그램을 이용하여 정밀 검사를 추가적으로 하시기 바랍니다.

 

이런 악성코드 감염으로부터 피해를 예방하기 위해서는 윈도우(Windows)를 비롯한 사용자 PC에 설치된 각종 소프트웨어를 최신 버전으로 유지하는 것이 가장 핵심이며, 백신 프로그램을 통한 파일 치료로는 문제가 해결되지 않을 경우가 있으므로 주의하시기 바랍니다.

728x90
반응형
  • 이전 댓글 더보기
  • install 2013.01.11 13:34 댓글주소 수정/삭제 댓글쓰기

    윈도우7 PRO SP1 64bit 환경에서도 위 방법으로 복구할 수 있었습니다.
    알약으로 winsocketa.dll을 검사 치료(검역소 이동, 삭제)하고
    LSP fix로 인터넷 연결을 복구 하였습니다.
    고맙습니다.^^

  • 카바니 2013.01.12 21:34 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다. 덕분에 말끔하게 복구했습니다.

    안랩에서 제공하는 전용백신 치료해도 안됬었는데 이런 방법이 있었군요.

    윈7 Home Pro sp1 32bit였고, IE9 환경이었습니다.

    디X(...)에서 낚시링크에 걸렸었는데, 거기에서 감염된 것 같네요.

  • 감사해요~ 2013.01.12 23:43 댓글주소 수정/삭제 댓글쓰기

    토욜 새벽에 바이러스 걸려서 안전모드 실행한 후 네이버 백신으로 검사 하니까 winsocketA.dll 이게 세개 나와서 바이러스 치료하고 다시 재부팅했는데,,,
    뜨어억 T-T
    로컬영역은 문제 없다고 하는데 인터넷이 안되더라구요. 처음엔 인터넷 연결이 잘못된건가해서 공유기랑 PC인터넷선 껐다가 키고 다시 컴퓨터 재부팅을 수십번 했어요.당연히 안될것을 >_< 계속했죠. 하하하
    포기하려다가 노트북 꺼내서 무선연결을 확인해 보니까 그건 되더라구요.그래서 인터넷 연결선 문제는 아닌것 같길래 결국 여기저기 돌아다니다가 수리센터에 컴퓨터 맡기려고 맘먹을려는 찰나 이 블로그 들어와서 알려주신데로 하고 지금은 데스크탑에서도 인터넷 사용하는 중이랍니다.
    감사합니다. 노트북으로 인터넷들어와서 이 블로그 못봤으면 못 고쳤을거에요.T-T

    winsocketA.dll 삭제하신 분들도 여기서 알려주신 LSP-Fix 1.1실행 하신후에요.
    remove 아무것도 없어도
    "I know what I'm doing(or enjoy re-installing my operation system...)" 박스에 체크하시고 Finish 눌러주시면 되요.
    다시 LSPFix.exe 실행하시면 No Problems found 라고 녹색글씨가 나오거든요.
    그 다음 재부팅 하시면 됩니다.

    저도 하루종일 고생하다가 이것으로 고쳤어요~
    벌새님 진짜 진짜 감사드려요~~

    • 도움이 되셨다니 다행입니다.

    • 에휴 우리나라 백신;; 2013.01.19 00:27 댓글주소 수정/삭제

      저랑 같으시네요
      저도 로컬 영역 문제 없고 무선공유기로 넷북 연결하니 문제가 없어서
      회선문제인가.. 호스트파일 문제인가 해서 계속 뒤지다가 5시간후에 결국 포멧 생각했는데..마지막 검색에 벌새님 나오셔서 고치네요 ㅠㅠ

  • 카바니 2013.01.13 00:14 댓글주소 수정/삭제 댓글쓰기

    뜨아...... 해결된 줄 알았더니ㅠㅠ
    증상이 재발했네요 ㅠㅠㅠ

    거기다가 이번엔 정품인증이 스스로 풀리는 기현상까지 ㄷㄷㄷ

    정품인증은 어떻게 다시 했지만..

    이번엔 WinsocektA.dll파일도 아예없는데도 이러네요 ㅠㅠ

    • 아마 보안 패치가 이루어지지 않은 PC를 사용하시는 것으로 보이며, 웹 사이트 방문 중에 자동으로 감염되어 또 다른 형태의 악성 파일에 감염된 것 같습니다.

  • 2013.01.13 16:37 댓글주소 수정/삭제 댓글쓰기

    이 방법대로 제대로 해결 한 줄 알았더니 이후 재부팅 할 때 마다 다시 생겨나더군요 ㅠ 두번 정도를 이 방법으로 했는데 이 악성코드가 생기는 자세한 경로와 주희 해야할 점 들을 조언해 주시면 감사하겠습니다.

  • 2013.01.13 18:25 댓글주소 수정/삭제 댓글쓰기

    참고로 윈도우 7입니다.

    • 우선 현재 시점에서 여기에서 소개한 내용 이외에 추가적인 악성 파일이 감염시 더 존재하였을 경우가 있을 것으로 보입니다.

      또한 악성 파일 제거 이후에는 반드시 윈도우, Adobe Flash Player, Oracle Java(설치되어 있는 경우에만) 프로그램을 최신으로 유지해야 합니다.

      반복적인 감염이 발생하는 경우 전용백신(http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105)을 이용해 보시기 바라며, 윈도우 7의 경우에는 XP 환경과는 달라 시스템 파일 수정은 전혀 다르게 접근해야 합니다.

      백신으로 해결 안될 경우에는 국번없이 118번(보호나라)에 전화해서 무료 원격 지원 서비스를 받아보시기 바랍니다.

  • 카바니 2013.01.13 20:22 댓글주소 수정/삭제 댓글쓰기

    Windows Update로 보안패치를 모두설치하였고, 플래쉬 플레이어, Java, 어도비 리더도 모두 최신버전으로 유지하고 있는데도 하루 정도 뒤에 뜬금없이 재발했네요.

    제가 슈퍼마리오 해킹롬 관련해서 정보를 찾다가 http://blog.naver.com/thgus2080?Redirect=Log&logNo=60111037812 이곳에서 첨부파일을 다운로드했는데 그 직후 재발한 것이어서 이 파일 자체가 악성코드인지도 모르겠네요..(어디까지나 제 추측)

    아무튼 LSP fix 프로그램 이용해서 다시 죽이긴 했는데.. 하 언제 또 재발하지 모르겠네요 ㅠㅠ

    • 해당 파일은 2008년경에 제작된 파일이므로 이번과는 관계가 없는 것으로 보입니다.

      그리고 일부 온라인 게임핵의 경우에는 국내에서 제작된 광고성 프로그램으로 설치되는 경우가 있으므로 PC에 설치된 광고성 프로그램이 있을 경우에도 삭제를 하시기 바랍니다.

  • 에휴 우리나라 백신;; 2013.01.19 00:22 댓글주소 수정/삭제 댓글쓰기

    정말 답이없네요.. v3로 정밀검사 후에 치료하고
    다음날 갑자기 인터넷이 안돼는겁니다;
    무려 6시간동안 찾다가 이 블로그 덕분에 치료 완료 했네요
    ( 무선공유기 찾아보다가.. 회선 찾아보다가 DNS 서버 찾아보다가 )

    ㅠㅠ 감사합니다 사랑해요

    v3나 알약같은 업체보다 블로그 주인장님이 더 전문가신듯..
    V3 정말 답없네요..

  • 혹시.. 2013.01.19 00:33 댓글주소 수정/삭제 댓글쓰기

    이거 바이러스 감염전부터 홈뱅킹하고 공인인증서 관련 작업을 많이했는데..
    뱅킹 해킹 가능성도 염두 해서 비밀번호같은거 전부 바꿔야됄까요?

    • 해당 악성코드는 주로 온라인 게임쪽의 정보 수집을 하는 걸로 알고 있습니다.

      하지만 최근 국내에서는 비슷한 감염 방식으로 인터넷 뱅킹 정보를 수집하는 악성 파일도 존재하므로 감염된 PC인 경우에는 치료 후에 비밀번호 등을 교체하시는 것이 만약을 위해 좋다고 생각합니다.

  • whitedog96 2013.01.21 10:57 댓글주소 수정/삭제 댓글쓰기

    ㅠㅠ 이거하나 고치느라 2시간 소요됐네요 감사해요 ㅠㅠ
    앞으로도 이런자료 많이올려주세요 ^^

  • 비밀댓글입니다

    • 아마 온라인 게임핵 악성 파일에 감염된 것으로 보이며, 제작자가 IE 웹 브라우저의 동작만을 모니터링하는 것으로 보입니다.

      워낙 많은 온라인 게임핵 변종이 존재하므로 실제 PC를 확인하지 않는 이상 알 수 없으며, 수동으로 치료할 능력이 되시지 않는다면 http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105 전용백신을 이용해 보시기 바랍니다.

      찾는 파일이 없다는 것은 다른 악성 파일에 감염된 것으로 보입니다.

    • 또 다른 전용 백신 : http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=110

  • 감사합니다ㅎ 2013.02.05 17:29 댓글주소 수정/삭제 댓글쓰기

    벌새님이 올려주신 링크에서 V3 Gamehack kill 실행 시켜서 windows 폴더에서
    Win-Trojan/Onlinegame... Win-Trojan/Avkiller.Gen 이라는 것들을 발견했네요ㅎㅎㅎ 저 같은 사소한 댓글에도 답변해 주셔서 감사하고요 앞으로도 이런 정보 많이 올려주시길 바랍니다:)

  • 감사드려요♡ 2013.03.02 18:00 댓글주소 수정/삭제 댓글쓰기

    정말정말 감사드립니다. 이 블로그를 발견하지 못했다면 절대 고칠 수 없었을 거예요. trojan이 백신으로 잡힌후 치료했는데 갑자기 32비트 인터넷이 되지 않아서 하루종일 고치느라 정신이 없었답니다. 포맷을 해야하나 고민중에 64비트 인터넷은 접속이 되길래 이곳저곳에서 알아보다 여길 알게되었습니다. 소중한 정보 감사드립니다! 복 많이 받으세요~ ㅎㅎ

  • 이즈나 2013.03.06 05:18 댓글주소 수정/삭제 댓글쓰기

    인벤사이트보다가 뜬금없이 익스플로어 오류가나더니 그 이후로 이미 실행하고 있는 게임들은 멀쩡히 되는데 추가로 하는 모든 인터넷은 안되고 irc는 소켓이 없느니 어쩌니하면서 안되길래 원인찾다 도저히 이유를 몰라서 시스템복원으로 1주전으로 돌리고 겨우 해결한 사람입니다.(이땐 바이러스라곤 생각도못했네요..;) 3일 후쯤에 백신이 뜬금없이 저 바이러스를 찾았다고 치료하고 통보하길래 뭔가 싶어 검색해보니 이런거였군요.. dll파일은 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx까지 가있고; 검역소에서 치료일시들을 보니 인터넷 안되던 날 복원하기 직전까지 치열하게 싸우고 있었던 모양입니다;

    레지스트리에 카탈로그쪽 엔트리값이 0에서 30까지 가있는데 그외엔 딱히 다른게 없고 문제의 파일들도 안보이길래 "유저명"\AppData\Local\Temp에 남아있던 소켓들 추가로 지워버리고 마무리 지었습니다. 덕분에 많이 배워갑니다. 요샌 개인이 아무리 주의해도 멍청하고 드러운 플래쉬덕에 광고에 바이러스가 묻어오니 정말 힘드네요..

    • 예전부터 인벤 사이트는 외부 공격으로 인해 악성코드 유포가 이루어지고 있었던 것으로 알고 있습니다.

      그러므로 보안 패치가 제대로 되지 않은 환경에서 웹 사이트를 이용하는 행위만으로도 시스템 감염이 발생할 수 있으므로 사이트 이용시 매우 주의하시기 바랍니다.

  • 가군자 2013.03.08 22:25 댓글주소 수정/삭제 댓글쓰기

    우와 대단하시네요..님덕에 고쳤어요..ㅎㅎ ..어떻게 이런걸 알아내시는지 그게 더 신기하네요

    • 해결되셨다니 다행입니다. 이런 악성 파일에 감염되지 않도록 윈도우, Adobe Flash Player, Oracle Java 프로그램을 최신 버전으로 업데이트하시고 인터넷을 사용하시기 바랍니다.

  • 제발살려주세요 2013.04.20 22:18 댓글주소 수정/삭제 댓글쓰기

    Winsock.dll은 있는데 winsocketA.dll은 없어요ㅜㅜ

  • 호사 2013.06.23 18:57 댓글주소 수정/삭제 댓글쓰기

    저는 확장자만바꿨는데 경고창안뜨고 알약이랑전부 원래대로실행이되네요...

  • 도현맘 2013.09.22 17:14 댓글주소 수정/삭제 댓글쓰기

    갑자기 컴퓨터 인터넷이 안되어 핸드폰으로 검색하다 여기까지 왔네요~~증상이 처음에 컴퓨터에서 알약이 갑자기 사라졌고요~ 다시 설치하려고 다운받았는데 설치가 안된다면서 알약사이트로 연결되서 거기서 검색했더니 바이러스 두개가 나와서 치료했더니 재부팅하야된다고해서 재부팅했더니 갑자기 인터셋만 안되는증상이ㅜㅜ 근데 자세히 설명해주셨는데 전 컴맹이라 이해가 잘 안되네요~~ window32 에 들어갔는데도 없구요~~ 64 비트면 없을수도 있다는데 32인지64인지는 어떻게 확인하나요? 글구 다운받아야되는거 있잖아요~~ 그걸 핸드폰으로 다운받아서해도 되나요?

  • 도현맘 2013.09.22 17:55 댓글주소 수정/삭제 댓글쓰기

    32bit 인건 확인했는더요~~ winsock.dll 밖에 없네요ㅜㅜ

    • 해당 글에서 소개한 악성코드와 유사할 수 있지만 파일명 변경이나 새로나온 변종인 경우에는 많이 달라졌을 수 있습니다.

      전문적인 지식이 없는 상태에서 접근하기 어려운 부분이 있으므로 전용 백신 링크를 소개해 드릴테니 USB 등으로 다운로드하여 감염된 PC에서 실행해 보시기 바랍니다.

      스마트폰으로는 해결되지 않을 것 같습니다.

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105

  • 도현맘 2013.09.22 18:45 댓글주소 수정/삭제 댓글쓰기

    우와~~빠른 답변 감사드려요~~ 컴퓨터 아는 사람한테 부탁드려야겠네요~^^