336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
1. 서론
최근 발견된 악성코드 중 특이한 증상이 발견된 악성코드가 있어 조치가이드를 작성합니다. 해당 악성코드가 감염되면 부팅 시 검은 화면에 마우스만 뜨며, 더 이상 정상모드 또는 안전모드로 부팅이 진행되지 않는 증상이 발생합니다. 해당 악성코드는 내부 모니터링 시스템을 통해 확인한 결과 국내 웹사이트를 통해 유포된 것으로 보입니다.
단, 부팅 불가한 원인은 여러 원인이 있으므로 모든 경우를 이번 악성코드 감염이슈와 연관지을 수 없음을 알려드립니다.
2. 증상 확인
해당 악성코드에 감염이 되면 아래와 같이 레지스트리에 키값을 작성합니다.
위에 작성한 키값으로 인해 부팅 시 악성코드에 의해 생성된 DLL파일을 로드하게 되는데 이 때 해당 파일이 정상적으로 로딩되지 않아서 발생하는 문제 입니다.
따라서 해당 파일을 삭제하거나 위 레지스트리 값을 삭제할 경우에 정상부팅이 가능합니다.
3. 조치 및 예방
현재 안철수연구소에서는 해당 파일을 수집해서 V3 제품에 아래와 같은 진단명으로 반영되었습니다.
상기 악성코드 자체의 전파기능은 없으며 전파경로는 현재 정확하게 파악하기 힘듭니다.
4. 수동 조치 방법
이미 감염이 되어 부팅이 안되는 시스템은 아래 안내해 드리는 방법대로 조치하여 주시기 바랍니다.
먼저 문제가 생기는 시스템의 하드디스크를 다른 정상 시스템의 Slave로 붙입니다. 그리고 V3 최신엔진으로 업데이트한 후에 Slave로 붙인 디스크를 수동검사를 통해서 해당 악성코드를 진단 및 삭제하시기 바랍니다.
또는 아래 방법대로 수동으로 조치를 하시기 바랍니다.
5. 예방 방법
1) V3 제품을 항상 최신 엔진으로 유지 합니다.
2) 사이트가드를 통해 웹페이지에서 유포되는 악성코드를 미연에 차단 합니다.
3) 윈도우 보안 패치를 항상 확인하고 설치 합니다. 아래 업데이트 목록은 해당 악성코드가 삽입된 웹페이지에서 이용한 취약점 리스트 입니다.
최근 발견된 악성코드 중 특이한 증상이 발견된 악성코드가 있어 조치가이드를 작성합니다. 해당 악성코드가 감염되면 부팅 시 검은 화면에 마우스만 뜨며, 더 이상 정상모드 또는 안전모드로 부팅이 진행되지 않는 증상이 발생합니다. 해당 악성코드는 내부 모니터링 시스템을 통해 확인한 결과 국내 웹사이트를 통해 유포된 것으로 보입니다.
단, 부팅 불가한 원인은 여러 원인이 있으므로 모든 경우를 이번 악성코드 감염이슈와 연관지을 수 없음을 알려드립니다.
2. 증상 확인
해당 악성코드에 감염이 되면 아래와 같이 레지스트리에 키값을 작성합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32
"MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터"
"MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터"
위에 작성한 키값으로 인해 부팅 시 악성코드에 의해 생성된 DLL파일을 로드하게 되는데 이 때 해당 파일이 정상적으로 로딩되지 않아서 발생하는 문제 입니다.
따라서 해당 파일을 삭제하거나 위 레지스트리 값을 삭제할 경우에 정상부팅이 가능합니다.
3. 조치 및 예방
현재 안철수연구소에서는 해당 파일을 수집해서 V3 제품에 아래와 같은 진단명으로 반영되었습니다.
Win-Trojan/Xema.15872.F (V3, 진단버전:2009.10.15.00)
Win-Trojan/Xema.18432.Y (V3, 진단버전:2009.10.15.00)
Win-Trojan/Xema.18432.Y (V3, 진단버전:2009.10.15.00)
상기 악성코드 자체의 전파기능은 없으며 전파경로는 현재 정확하게 파악하기 힘듭니다.
4. 수동 조치 방법
이미 감염이 되어 부팅이 안되는 시스템은 아래 안내해 드리는 방법대로 조치하여 주시기 바랍니다.
먼저 문제가 생기는 시스템의 하드디스크를 다른 정상 시스템의 Slave로 붙입니다. 그리고 V3 최신엔진으로 업데이트한 후에 Slave로 붙인 디스크를 수동검사를 통해서 해당 악성코드를 진단 및 삭제하시기 바랍니다.
또는 아래 방법대로 수동으로 조치를 하시기 바랍니다.
(1) 정상 시스템에서 레지스트리 편집기(regedit.exe)를 실행한다. 이번 문제는 HKEY_LOCAL_MACHINE이므로 해당 키를 선택한다.
(2) 레지스트리 편집기 -> 파일(F) -> 하이브 로드(L)을 선택하면 하이브 로드할 수 있는 윈도우 창이 뜬다.
(3) 슬래이브로 붙여진 디스크 경로에서 WINDOWS\system32\config\software를 선택한다.
(4) 레지스트리 키 이름을 임의로 입력
(5) 위와 같이 하게 되면 아래 그림처럼 부팅이 안되는 시스템의 레지스트리 정보가 로딩되어 진다
로딩이 되면 아래 레지스트리 값을 삭제한다.
HKEY_LOCAL_MACHINE\[위에서 지정한 임의의 이름]\
MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32\
"MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 인자"
주의할 것은 다른 정상값들을 삭제하지 않도록 주의해야 한다.
(6) 수정이 완료되면, 생성한 키를 선택한후 [파일]-[하이브 언로드]를 클릭하여 해제합니다.
(7) 이제 부팅이 안되었던 컴퓨터에 하드디ㅡ크를 연결 하신 후 V3 제품을 최신버젼으로 업데이트 하신 후 검사 및 치료를 해보시기 바랍니다.
(2) 레지스트리 편집기 -> 파일(F) -> 하이브 로드(L)을 선택하면 하이브 로드할 수 있는 윈도우 창이 뜬다.
(3) 슬래이브로 붙여진 디스크 경로에서 WINDOWS\system32\config\software를 선택한다.
(4) 레지스트리 키 이름을 임의로 입력
(5) 위와 같이 하게 되면 아래 그림처럼 부팅이 안되는 시스템의 레지스트리 정보가 로딩되어 진다
로딩이 되면 아래 레지스트리 값을 삭제한다.
HKEY_LOCAL_MACHINE\[위에서 지정한 임의의 이름]\
MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32\
"MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 인자"
주의할 것은 다른 정상값들을 삭제하지 않도록 주의해야 한다.
(6) 수정이 완료되면, 생성한 키를 선택한후 [파일]-[하이브 언로드]를 클릭하여 해제합니다.
(7) 이제 부팅이 안되었던 컴퓨터에 하드디ㅡ크를 연결 하신 후 V3 제품을 최신버젼으로 업데이트 하신 후 검사 및 치료를 해보시기 바랍니다.
5. 예방 방법
1) V3 제품을 항상 최신 엔진으로 유지 합니다.
2) 사이트가드를 통해 웹페이지에서 유포되는 악성코드를 미연에 차단 합니다.
3) 윈도우 보안 패치를 항상 확인하고 설치 합니다. 아래 업데이트 목록은 해당 악성코드가 삽입된 웹페이지에서 이용한 취약점 리스트 입니다.
MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx
Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx
Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx
Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx
Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx
Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx
Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx
'컴퓨터TIP' 카테고리의 다른 글
| 윈도우7 scvhost로 인한 소음 및 cpu 점유율 해결법 (0) | 2013.05.03 |
|---|---|
| 윈도우7 로그인 암호 해제하기, 암호풀기 (0) | 2012.09.24 |
| 파워포인트 두 개 실행하기 (2007 버전) (0) | 2012.07.16 |
| 아이폰 서비스안됨 해결방법 Tip! 유심인식불량 (0) | 2012.07.12 |
| 내컴퓨터에서 아이폰이 나오지 않을때, 인식이 안될때 (0) | 2010.04.18 |
| [구글톡] 구글 채팅 프로그램 - Google Talk 다운로드 영문판 (0) | 2009.10.18 |
| [구글톡] 구글 채팅 프로그램 - Google Talk 다운로드 한글판 (0) | 2009.10.18 |
| 직장에서 네이트온 안되시는 분들을 위하여 (0) | 2009.10.16 |
| 크랙(crack) 사이트 모음 (0) | 2009.05.27 |
| 디렉토리 파일 리스트 저장하기 (0) | 2009.05.19 |
