본문 바로가기

컴퓨터TIP

[PC 부팅에러] 검은 화면에 마우스 커서만 나타나는 경우

336x280(권장), 300x250(권장), 250x250, 200x200 크기의 광고 코드만 넣을 수 있습니다.
1. 서론
  최근 발견된 악성코드 중 특이한 증상이 발견된 악성코드가 있어 조치가이드를 작성합니다. 해당 악성코드가 감염되면 부팅 시 검은 화면에 마우스만 뜨며, 더 이상 정상모드 또는 안전모드로 부팅이 진행되지 않는 증상이 발생합니다. 해당 악성코드는 내부 모니터링 시스템을 통해 확인한 결과 국내 웹사이트를 통해 유포된 것으로 보입니다.

단, 부팅 불가한 원인은 여러 원인이 있으므로 모든 경우를 이번 악성코드 감염이슈와 연관지을 수 없음을 알려드립니다.


2. 증상 확인
  해당 악성코드에 감염이 되면 아래와 같이 레지스트리에 키값을 작성합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32
"MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터"

 위에 작성한 키값으로 인해 부팅 시 악성코드에 의해 생성된 DLL파일을 로드하게 되는데 이 때 해당 파일이 정상적으로 로딩되지 않아서 발생하는 문제 입니다.

따라서 해당 파일을 삭제하거나 위 레지스트리 값을 삭제할 경우에 정상부팅이 가능합니다.
 

3. 조치 및 예방
  현재 안철수연구소에서는 해당 파일을 수집해서 V3 제품에 아래와 같은 진단명으로 반영되었습니다.
 
Win-Trojan/Xema.15872.F (V3, 진단버전:2009.10.15.00)
Win-Trojan/Xema.18432.Y (V3, 진단버전:2009.10.15.00)

상기 악성코드 자체의 전파기능은 없으며 전파경로는 현재 정확하게 파악하기 힘듭니다.


4. 수동 조치 방법
  이미 감염이 되어 부팅이 안되는 시스템은 아래 안내해 드리는 방법대로 조치하여 주시기 바랍니다.

먼저 문제가 생기는 시스템의 하드디스크를 다른 정상 시스템의 Slave로 붙입니다. 그리고 V3 최신엔진으로 업데이트한 후에 Slave로 붙인 디스크를 수동검사를 통해서 해당 악성코드를 진단 및 삭제하시기 바랍니다.

또는 아래 방법대로 수동으로 조치를 하시기 바랍니다.
 

(1) 정상 시스템에서 레지스트리 편집기(regedit.exe)를 실행한다. 이번 문제는 HKEY_LOCAL_MACHINE이므로 해당 키를 선택한다.



(2) 레지스트리 편집기 -> 파일(F) -> 하이브 로드(L)을 선택하면 하이브 로드할 수 있는 윈도우 창이 뜬다.
 

 
(3) 슬래이브로 붙여진 디스크 경로에서 WINDOWS\system32\config\software를 선택한다.
 

 
(4) 레지스트리 키 이름을 임의로 입력
 

 
(5) 위와 같이 하게 되면 아래 그림처럼 부팅이 안되는 시스템의 레지스트리 정보가 로딩되어 진다
 

 로딩이 되면 아래 레지스트리 값을 삭제한다.
 
HKEY_LOCAL_MACHINE\[위에서 지정한 임의의 이름]\
MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32\
                              "MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 인자"
                 

주의할 것은 다른 정상값들을 삭제하지 않도록 주의해야 한다.
 

(6) 수정이 완료되면, 생성한 키를 선택한후 [파일]-[하이브 언로드]를 클릭하여 해제합니다.


(7) 이제 부팅이 안되었던 컴퓨터에 하드디ㅡ크를 연결 하신 후 V3 제품을 최신버젼으로 업데이트 하신 후 검사 및 치료를 해보시기 바랍니다.



5. 예방 방법
1) V3 제품을 항상 최신 엔진으로 유지 합니다.

2) 사이트가드를 통해 웹페이지에서 유포되는 악성코드를 미연에 차단 합니다.

3) 윈도우 보안 패치를 항상 확인하고 설치 합니다. 아래 업데이트 목록은 해당 악성코드가 삽입된 웹페이지에서 이용한 취약점 리스트 입니다.

MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx

Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx

Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx

Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx