바이러스정보

게시글 '부팅 오작동 증상을 유발하는 악성코드 주의'에 대한 정보
부팅 오작동 증상을 유발하는 악성코드 주의
등록일 2009-10-28 조회 2,994
최근 국내외에서 발견 보고되고 있는 일부 악성코드 중에 비정상적인 레지스트리의 생성과 오작동으로 인하여 윈도우가 정상적으로 시작되지 않는 피해 보고가 나타나고 있는 상황이며, 변종도 추가적으로 발견되고 있다.

잉카인터넷 시큐리티 대응센터에서는 이번에 발견된 악성코드(변종 포함)를 진단하고 치료할 수 있는 전용백신을 제작하여 무료로 제공하고 있다.

[무료 전용백신 제공]
http://www.nprotect.com/v6/data/index.php?mode=vs_down_view&no=289

현재 국내의 일부 사이트가 변조되어 악성코드를 유포하고 있는 것이 실제 발견되었고, 아래는 실제 사용되고 있는 악성 스크립트의 화면 중 일부이다.



특정 악성코드 감염으로 인하여 발생하는 이번 부작용은 해당 악성코드에 감염된 상태에서 재부팅이 시작되는 시점에 발생하며, 정상 모드와 안전 모드 두 조건에서 모두 동일하게 나타난다.

따라서, 일반 컴퓨터 사용자가 감염되어 부팅 불가 증상이 나타난 경우 컴퓨터 사용에 있어서 매우 큰 불편과 피해를 입게 될 우려가 높으므로, 사용자들의 각별한 주의가 요구되는 상황이다. 

악성코드가 작동되어 감염이 이루어지면 다음과 같은 파일과 레지스트리 값을 생성하게 되는데, 이 과정에서 설치된 또 다른 악성 파일이 정상적으로 로딩되지 못하면서 발생하는 부작용 현상이다.

잉카인터넷 대응팀에서 실제 국내에 유포되고 있는 악성 스크립트를 이용하여 테스트해 본 결과 Temp 폴더에 Main Dropper (iexplore.exe) 를 생성한 후에 실행시키는 것을 확인하였다. Main Dropper 는 변종에 따라 다른 파일명으로 존재할 수 있다.



보통 악성코드가 생성한 파일은 [Documents and Settings - 사용자계정 - Local Settings] 경로에 존재하지만, 일부 변종은 [Windows] 폴더에서 발견되고 있기도 하다. 따라서 다양한 변종이 존재할 것으로 추정된다.

추가로 생성된 파일명은 임의의 알파벳 문자가 조합된 형태이며, 확장자는 tmp, bak, dat, old 등이 임의로 선택되어 사용된다.
예) eisvmyu.tmp, ayndn.bak, diq.dat, hgwcmg.old



매우 특이한 점은 실제 eisvmyu.tmp 파일은 Local Settings 폴더에 생성되어 있지만 레지스트리 값은 Main Dropper 가 존재하는 Temp 경로로 지정되어 있다는 것이다. 

이 상태에서 윈도우를 재부팅하게 되면 검은색 화면만 보여지고, 정상적으로 부팅 과정이 진행되지 않는 장애가 발생한다.

잉카인터넷 대응팀에서는 악성코드에 감염된 상태에서 레지스트리 값을 실제 eisvmyu.tmp 악성코드가 존재하는 Local Settings 경로로 강제로 변경 지정하여 부팅 과정을 테스트해 본 결과 윈도우는 정상적으로 부팅되는 것으로 확인되었다.



이번 악성코드에 감염된 경우 특정 응용 프로그램들이 정상적으로 실행되지 못하는 현상과 레지스트리에 midi9 값이 존재하지 않는 형태도 부분적으로 발견되고 있어 다양한 변종이 존재할 것으로 추정된다.

이러한 악성코드 감염에 의해서 정상적인 부팅 진행이 이루어지지 못할 경우에는 다음과 같은 응급 수동 조치 방법을 통해서 해결할 수 있으며, 증상이 발생하기 이전 시점인 재부팅 전에 해당 악성코드나 레지스트리 값을 제거하면 비정상적인 부팅 현상의 발생을 사전에 조치할 수 있다.

잉카인터넷 대응팀에서는 해당 증상을 유발하는 악성코드를 2009년 10월 15일 긴급히 수집하고 분석하여 nProtect Anti-Virus 제품(군)을 사용하는 컴퓨터 사용자 고객분들께 피해를 미연에 예방하고 감염 시 피해를 최소화하기 위한 대고객 서비스를 지속적으로 제공 중에 있다.

※ 응급 수동 조치 방법

악성코드 감염 후 재부팅을 시도하여 시스템이 정상적으로 시작되지 못하는 경우 다음과 같이 진행한다.

1. 다른 정상 컴퓨터에 감염된 하드 디스크(HDD)를 슬래이브(Slave)로 연결하고, 최신 nProtect Anti-Virus 제품(군)을 통해서 전체 검사를 수행하며, 탐지되는 모든 악성코드를 치료(제거)하거나, 윈도우 상태로 실행 가능한 CD 매체 등을 통해서 부팅을 한다.  

2. 다음과 같이 레지스트리 편집기를 이용하여 악성코드가 생성한 비정상적인 레지스트리 값을 제거하는 과정을 진행한다.  반드시 감염된 하드 디스크(HDD)가 슬래이브로 연결된 상태이어야 한다.

ⓐ 정상적으로 부팅된 컴퓨터에서 레지스트리 편집기를 실행한다. (시작버튼 ▶ 실행 ▶ regedit.exe)



ⓑ 레지스트리 편집기 화면에서 HKEY_LOCAL_MACHINE 값을 선택한다.



ⓒ 파일(F)메뉴에서 하이브 로드(L)를 선택한다.



ⓓ 슬래이브로 연결한 감염 디스크 시스템(보통 Windows->System32) 하위 경로의 config 폴더에서 software 파일을 선택 후 열기를 한다.

 

ⓔ 키 이름에 임시로 정한 이름을 입력한다.



ⓕ HKEY_LOCAL_MACHINE - 임시 생성 키 이름 - Microsoft - Windows NT - CurrentVersion - Driver32 경로에서 midi9 값을 삭제한다.

ⓖ (HKEY_LOCAL_MACHINE - 임시 생성 키 이름)을 선택하고 파일(F) 메뉴 -> 하이브 언로드(U)를 선택한다.

ⓗ 슬래이브로 연결했던 하드 디스크를 감염되었던 컴퓨터에 다시 마스터로 부착한 후 재부팅하여, 정상적으로 부팅이 이루어지는지 확인한다.


이러한 악성코드의 유입을 사전에 차단하고, 예방하기 위해서는 nProtect Anti-Virus 제품(군)을 항시 최신 버전으로 업데이트하여 유지하고, 실시간 감시 기능 등을 활성화 해두도록 하며, 정기적으로 시스템내 악성코드 감염 여부를 파악하는 과정이 중요하다.

최신 윈도우 서비스팩 설치와 매달 정기적으로 발표되는 윈도우 보안 업데이트(패치) 등을 반드시 설치하고, 악성코드가 많이 악용하는 플래시 플레이어 취약점, PDF 취약점 등을 방어하기 위해서 최신 버전을 설치하여 사용하도록 하는 것도 필수적이라 할 수 있다.

[작성 : 시큐리티 대응센터 / 대응팀 / 문종현 팀장]