컴퓨터 엑셀 워드 포토샵 구글어스 WINDOWS JAVASCRIPT JAVA C++

 
Saturday, July 12, 2008

안철수연구소 V3의 lsass.exe 삭제 문제를 재현


2008-07-10일에 업데이트된 V3백신 엔진이 lsass.exe 라는 멀쩡한 시스템파일을 삭제해서 컴이 부팅이 안되는 심각한 문제가 발생하여 여기저기서 아우성입니다. 윈도우XP SP3에서만 발생하는 문제인데, 정상 파일의 자세한 정보는 다음과 같습니다:

파일명: lsass.exe (LSASS.EXE)
파일 날짜: 2008년 4월 14일 월요일, 오전 7:57:24
크기: 13.0KB (13,312 바이트)
파일 버전: 5.1.2600.5512
파일 설명: LSA Shell (Export Version)
CRC-32: 13E44291
MD-5: 534d60486885550759f6123228dec5ca
위치: C:\WINDOWS\system32


제가 테스트를 위해서, 수동으로 lsass.exe 파일을 삭제해 보려고 하니 지워지지 않았습니다. 보호되고 있었습니다.

그러나 lsass.exe 를 다른 폴더(디렉토리)로 이동시키니 이동되어 버리더군요. 그러나 지워지지 않고 다시 부활(?)했습니다.

C:\WINDOWS\system32\dllcache
폴더에 있는 lsass.exe 파일로 자동으로 교체가 되며 다시 보호되었습니다. 그래서 dllcache 폴더에 있는 lsass.exe 파일도 지우니 결국 lsass.exe 를 삭제할 수 있었습니다.

리부팅을 해보니 과연 윈도우XP가 부팅이 되지 않았습니다. 아무것도 없는 캄캄한 화면에 하얀 마우스 커서 하나만 고독하게 움직이더군요-_-;;;

윈도가 부팅이 안돼도 "노턴 고스트" 등으로 백업한 하드를 복원하면 그뿐이지만, 초보자들은 그러기도 힘들고, 정말 참담한 상황일 것입니다.

부팅할 때 키보드의 F8키를 여러번 누르면 "안전 모드"로 부팅이 되는데 위의 경우 안전모드도 되지 않았습니다. "안전 모드 (명령 프롬프트 사용)"도 되지 않았습니다.

lsass.exe 파일은 부팅에 필수 파일이기에, 설령 lsass.exe 가 바이러스에 감염되었다 하더라도 함부로 지워서는 안되는 것입니다.

안타까운 일입니다.




tag: security
보안 | Security
tag: windows
윈도우 | Windows 7 | Windows XP | Windows 2000

0 Comments:

Post a Comment

<< Home RSS 2.0 feed

구글 Google 에서 제공하는 무료 블로그 서비스인 블로거 Blogger 의 인터넷 주소는 www.blogger.com 입니다. Blogger 에 블로그를 만들면, blogspot.com 이라는 주소에 블로그가 생성됩니다.
블로그를 직접 방문하지 않고도 최신 게시물을 구독하려면 RSS 2.0 feed 주소를 리더기에 등록하시면 됩니다.
Previous Posts
Monthly Archives
Top