PC 부팅장애를 일으키는 악성코드가 등장해, 국내에서도 피해가 보고되고 있다고 합니다. (관련기사 컴퓨터 부팅장애 일으키는 악성코드 주의)

컴퓨터 재부팅시 검은 화면이 나타나고 이 상태가 지속되면 악성코드 감염을 의심해봐야 합니다.

(감염 후 안전모드 부팅 시 [안전모드] 글귀만 뜨고 검은 화면 상태가 지속되는 것을 확인할 수 있다. 사진제공- 하우리)

다음은 잉카인터넷 시큐리티대응센터의 분석자료 내용입니다.


- 악성코드가 작동되어 감염이 이루어지면 다음과 같은 레지스트리 값을 생성하게 되는데, 이 과정에서 설치된 또 다른 악성 파일이 정상적으로 로딩되지 못하면서 발생하는 부작용 현상이다.

악성코드가 생성한 레지스트리 값 중 데이터 부분은 악성코드가 감염될 때마다 Random 파일명과 확장자 등을 이용해 생성하기 때문에 감염된 컴퓨터마다 조금 씩 다른 값들이 포함되어 있을 수 있다.

이러한 악성코드 감염에 의해서 정상적인 부팅 진행이 이루어지지 못할 경우에는 다음과 같은 응급 수동 조치 방법을 통해서 해결할 수 있으며, 증상이 발생하기 이전 시점인 재부팅 전에 해당 악성코드나 레지스트리 값을 제거하면 비정상적인 부팅 현상의 발생을 사전에 해결할 수 있다.

※ 응급 수동 조치 방법

악성코드 감염 후 재부팅을 시도해 시스템이 정상적으로 시작되지 못하는 경우 다음과 같이 진행한다.

1. 다른 정상 컴퓨터에 감염된 하드 디스크(HDD)를 슬래이브(Slave)로 연결하고, 최신 '엔프로텍트 안티바이러스' 제품으로 전체 검사를 수행하며, 탐지되는 모든 악성코드를 치료 또는 제거한다.

2. 다음과 같이 레지스트리 편집기를 이용해 악성코드가 생성한 비정상적인 레지스트리 값을 제거하는 과정을 진행한다. 반드시 감염된 하드 디스크(HDD)가 슬래이브로 연결된 상태여야 한다.

ⓐ 정상적으로 부팅된 컴퓨터에서 레지스트리 편집기를 실행한다. (시작버튼 ▶ 실행 ▶ regedit.exe)

ⓑ 레지스트리 편집기 화면에서 HKEY_LOCAL_MACHINE 값을 선택한다.

ⓒ 파일(F)메뉴에서 하이브 로드(L)를 선택한다.

ⓓ 슬래이브로 연결한 감염 디스크 시스템 하위 경로의 config 폴더에서 software 파일을 선택 후 열기를 한다.

ⓔ 키 이름에 임시로 정한 이름을 입력한다.

ⓕ HKEY_LOCAL_MACHINE\임시 생성 키 이름\Microsoft\Windows NT\CurrentVersion\Driver32 경로에서 midi9 값을 삭제한다.
ⓖ (HKEY_LOCAL_MACHINE\임시 생성 키 이름)을 선택하고 파일(F) 메뉴 -> 하이브 언로드(U)를 선택한다.
ⓗ 슬래이브로 연결했던 하드 디스크를 감염되었던 컴퓨터에 다시 마스터로 부착한 후 재부팅하여, 정상적으로 부팅이 이루어지는지 확인한다.

하우리는 전용백신을 개발해 현재 배포하고 있습니다.

* 부팅장애 전용백신 [Trojan.Win32.Delf.* 전용백신] http://www.hauri.co.kr/customer/download/vaccine_view.html?uid=70&page=1&keyfield=&key=

* 하우리 보안대응센터 보안공지 참고
http://www.hauri.co.kr/customer/security/alert_view.html?intSeq=21&page=1

2009/10/16 15:01 2009/10/16 15:01

트랙백 주소 :: 이 글에는 트랙백을 보낼 수 없습니다