본문 바로가기
AhnLab News

2008.07.11 [안철수연구소 긴급공지]윈도 SP3에 포함된 Lsass.exe 파일 복구 안내

by 보안세상 2020. 3. 23.

7/10(목) 배포된 V3 엔진 2008.07.10.01 버전에서 특정 파일을 Win-Trojan/Infactlsass.13312 로 잘못 진단하여 삭제하는 사례가 아래와 같이 발생하였습니다.

- 오진발생 엔진버전: 2008.07.10.01
- 진단명: Win-Trojan/Infactlsass.13312
- 진단파일: 윈도우 XP 서비스팩 3에 존재하는 Lsass.exe 파일(13,312바이트)
- 피해증상: 진단파일 삭제로 인한 시스템 부팅 불가 (하드디스크의 데이터 파일 손상은 발생하지 않음)

[피해현상 확인 방법]

윈도우 XP 서비스팩 3를 사용하는 고객님 중,

1. 윈도우 XP 서비스팩 3를 사용하는 고객님 중, Lsass.exe 파일이 삭제된 후 시스템 재부팅을 하지 않은 경우
   아래와 같이 Windows 파일 보호 창이 출력됩니다.
    이 경우, V3 검역소 진단로그에 lsass.exe 파일 진단내역이 존재합니다.

[Windows 파일 보호창 출력 화면]
[V3 검역소에서 lsass.exe 파일이 Win-Trojan/Infactlsass.13312로 진단되는 화면]

 


2. 윈도우 XP 서비스팩 3를 사용하는 고객님 중, Lsass.exe 파일이 삭제된 후 시스템을 재부팅한 경우는 시스템
    재부팅시로그인창이 나오지 않고 멎어버리는 현상이 발생 합니다.

   피해를 입은 고객님은 다음 방법 중 택일하여 조치를 해 주시기 바랍니다.


V3 검역소에 C:\Windows\System32\lsass.exe 파일이 Win-Trojan/Infactlsass.13312로 진단된 내역이 있는 경우는 제공해 드리는 복구툴을 이용하여 복구할 수 있습니다.

[전용 복구툴을 이용한 복구 방법]

1. 전용 복구 파일(파일명)을 다운로드합니다. [전용 복구툴 다운로드]
2. 다운로드 한 파일을 실행합니다.

※ 복구 툴을 실행하면, 특정 메시지 출력 없이 자동으로 복구됩니다
※ 2008.07.10.03 엔진을 사용하는 고객님은 엔진업엔진업데이트 후 자동으로 복구툴이 실행되어 복원되므로, 별도로 복구 툴을 다운로드하여 실행하실 필요 없습니다.