2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 보안 정보
  • 터보백신에서 알려드리는 최신 보안 이슈 , 보안 관련 정보를 확인할 수 있습니다.
제목
내 PC의 스파이, 변종바이러스_ws2help.dll
등록일
2013-05-14
조회
63682

S 사의 주말 예능 프로그램인 ‘런X맨’에서 각각의 멤버들을 속이는 “스파이”가 등장하곤 합니다.
같은 편인 것처럼 아무렇지도 않게 있다가 몰래 스파이에게 주어진 미션을 수행하는데요.
이를 통해 멤버들이 하고자 하는 일을 방해하곤 합니다. 심지어 일반 멤버들을 아웃 시키기도 합니다.

내 PC에도 이와 같은 스파이가 존재한다면 믿으시겠습니까?
바로 일반적인 윈도우 시스템인 척 하면서 악성 행위를 저지르는 변종 바이러스 입니다.
이번 포스팅에서는 변종 바이러스 중에서도 가장 빈번히 일어나는 ws2help.dll 파일 변종바이러스에 대해 알아보고자 합니다.

Ws2help.dll 변종 바이러스의 특징은 무엇 일까요 ?
해당 악성코드는 미국(USA)에 등록된 특정 IP에 악성 스크립트를 통해 국내 인터넷 사이트에 추가하여 Internet Explorer 웹 브라우저 취약점과 Adobe Flash Player 취약점을 이용하여 최신 보안패치가 적용되지 않은 사용자가 변조된 사이트에 접속 시 자동으로 감염되는 특징이 있습니다.

Ws2help.dll 변종 바이러스의 동작 방식은 어떻게 되나요 ?
해당 바이러스의 경우 온라인 게임 핵 기능과 백신 무력화 기능을 합니다.

온라인 게임 핵 기능이란?
- 온라인 게임의 아이디와 비밀번호 등을 계정 탈취하여 금전, 아이템 등을 빼가는 소위 말하여 해킹입니다. 해당 기능의 경우 GetCurrentProcessId 함수를 이용하여 특정 게임의 프로세스를 식별하여 아이디, 비밀번호 등을 외부 사이트로 유출합니다.

백신 무력화 기능이란?
- 무력화 시키고자 하는 백신의 동작을 면밀히 파악하여 백신의 실행이나 검사, 치료 등을 막는 기능입니다. 따라서 일반적인 백신으로는 해당 바이러스를 치료하기 어려울 수 있습니다.

또한, 게임뿐 아니라, 웹 사이트 상에서의 로그 인을 할 시의 정보를 외부 서버로 보내는 동작을 수행합니다.

PC에서 Ws2help.dll 변종 바이러스에 감염되었는지 확인 하려면 ?
여러분의 PC는 ws2help.dll 변종 바이러스로부터 안전할까요?

해당 바이러스는 잠적하여 정보를 캐내는 것이 목적이기 때문에 백신을 통하여 검사를
진행하지 않거나, 특별한 오류현상이 없다면 드러나는 증상이 없는 것이 특징입니다.
(간혹 인터넷이 갑자기 느려지는 경우 해당 바이러스에 감염되어 있는 경우가 많습니다.)

다음을 확인해보시면 됩니다.
(예시그림은 Windows 7 의 환경입니다.)

  1. 윈도우 탐색기를 엽니다.  잘 모르겠다면 [내 컴퓨터] 를 실행 합니다.
  2. C:\WINDOWS\system32 경로로 이동합니다.

  3. 상단의 “이름”이라고 써있는 제목을 한번 눌러주세요.. 폴더 안의 파일이 이름 순으로 정렬됩니다. (ABC 순으로 정렬해주시면 됩니다)

  4. 자 이제부터 스크롤을 Ws~ 로 시작하는 파일이 보일 때까지 쭉~ 내려주세요.
    (Windows폴더의 system32폴더는 시스템을 구성하는 중요한 파일이 들어있습니다. 반드시 조심히 다루어주세요~)
  5. ws~로 시작하는 파일을 찾으셨다면 아마 ws2help.dll 시스템 파일을 쉽게 찾으실 수 있으실 겁니다.
    감염된 PC의 경우 : 아래와 같이 ws2help 이라는 이름으로 시작하는 파일이 3개, 혹은 그 이상의 갯 수로 존재할 수 있습니다.
    정상 PC의 경우 : ws2help.dll 이라는 파일이 하나만 존재하신다면 안심하셔도 좋습니다.
    ※ Windows 7 환경의 64비트를 쓰시는 경우 C:\windows\SYSWOW64 폴더도 꼭 확인해보셔야 합니다.

어떻게 치료할 수 있나요? (수동 치료 방법)

위 확인 법에서 PC가 감염된 것이 확실해졌다면, 아래와 같은 방법으로 조치하셔야 합니다.

조치하시기 전에, 반드시 주의하셔야 합니다.

해당 작업은 윈도우의 중요한 구성파일이 담긴 system32 폴더에서의 작업입니다.
해당 폴더 안의 구성파일이 하나만 없어져도 PC는 부팅도 하지 못한 채 블루스크린을
출력 할 수 있습니다.

따라서, 반드시 차례에 맞게 순서대로 빠짐없이 주의하시고 진행하여 주시기 바랍니다.

  1. 상단의 바이러스 확인 법에서 5번까지 진행하여 주시기 바랍니다.
    (요약 => C:\Windows\system32 폴더에서 ws~로 시작하는 파일을 확인해주세요.)
  2. 아래와 같이 표기가 되실 겁니다. 이제부터 잘 확인하셔야 합니다.


    [그림 1]

    - ws2help.dll : 이 파일은 기존에 꼭 필요한 파일이지만 변종 되어있을 수 있는 가능성이 있습니다.  (변종 파일)
    - ws2help.(숫자,문자의 무작위 조합).tmp : 변종 되기 전의 정상적인 ws2help.dll 파일을 백업해놓는 경우도 있지만 이 파일 또한 변종 된 파일과 같은 역할로 사용하는 경우가 많습니다.
    감염된 경우 이 파일이, 적게는 1개 많게는 수십 개까지 생성될 수 있습니다.
    - ws2helpXP.dll :  해당 파일은 정상파일이며 바이러스 실행 시 특정한 함수를 호출하기 위해 정상적인 ws2help.dll 파일을 이름만 바꾸어 저장한 것입니다. (정상파일)
  3. 위의 파일 설명까지 빠짐없이 읽어주시고 다음 사항을 진행하여주시기 바랍니다. (중요 !)
    Ws2help.dll 파일의 크기와 ws2helpXP.dll 파일의 크기를 비교하여 주시기 바랍니다.
    (감염된 경우 ws2help.dll 파일이 ws2helpXP.dll 파일보다 큽니다.)
    ws2help.dll 파일을 [마우스 오른쪽 버튼 클릭] -> [이름 바꾸기]를 통하여 ws2help.dll_virus 라는 이름으로 바꾸어 주시기 바랍니다.
    ※ 이 때에, “새로고침” (키보드의 [F5]) 버튼을 클릭하신 후 다시 상단의 “이름” 버튼을 눌러 ABC 순으로 출력되게 한 후 ws2help.dll 파일이 생성되었는지 확인하여 주시기 바랍니다.
      (윈도우 system32의 경우 파일을 자동으로 복원하는 기능이 있습니다. 따라서 “새로고침” 버튼을 누르시면 정상적인 파일이 생성되는 경우가 많습니다.)
    생성되었다면, 파일 크기가 ws2helpXP.dll 파일의 크기와 같은지, 이름을 바꾼 ws2help.dll_virus 파일의 크기와 같은지 확인하여주시기 바랍니다.
    만약, ws2helpXP.dll 파일의 크기와 같다면?
    정상적으로 복원 된 경우입니다. (대부분의 경우) 4번 사항을 건너뛰어 주시고 5번 사항을 진행해주시기 바랍니다.
    만약, ws2help.dll_virus 파일의 크기와 같다면?
    복원하고자 하여 보관해두었던 파일까지 감염된 경우이므로 이 경우에는 4번 사항을 진행하여주시기 바랍니다.
    생성되지 않았다면, 다음 4번 사항을 진행해주시기 바랍니다.
  4. ws2helpXP.dll 파일에 [마우스 오른쪽 클릭] -> [이름 바꾸기] 클릭하여 이름을 ws2help.dll 로 바꾸어 주시기 바랍니다.
    (반드시 ws2help.dll 로 바꿔주셔야 컴퓨터 부팅 시 오류가 없습니다.)
  5. 컴퓨터를 재 부팅 합니다.
  6. 윈도우 탐색기를 열어 ws2help.dll_virus 파일과 ws2help.(문자,숫자 무작위조합).tmp 파일을 삭제합니다.
  7. 처리 완료 !

Ws2help.dll 변종 바이러스를 예방하려면 ?

  1. Oracle Java 업데이트, Adobe 업데이트, Windows 업데이트를 최신으로 유지해주셔야 합니다. -> 최신 업데이트를 유지하여 주시는 것만으로도 PC가 안전합니다.
  2. 터보백신을 통해 실시간 감시 기능을 항상 켜두시고 바이러스 패턴 업데이트를 최신으로 유지해주셔야 합니다.
  3. 터보백신의 정밀검사를 적어도 일주일에 한번 진행 해주셔야 합니다.
  4. PC 계정의 암호를 숫자+영문자+특수문자의 조합으로 9자 이상 설정 해주셔야 합니다.
  5. 신뢰하지 않는 사이트의 Active X 나 파일의 다운로드 시 주의하셔야 합니다.
상호 :(주)에브리존 터보백신 | 대표:홍승균|사업자등록번호:220-81-67981
Copyright ⓒEveryzone , Inc. All Rights Reserved.|