본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

DDoS 악성코드 감염 PC 하드디스크 손상 주의

보안공지 2009-07-10

안녕하세요?
이스트소프트 긴급대응팀입니다.
이번 1~3차 DDoS 공격에 사용된 감염 숙주 PC에서 하드디스크와 데이터를 파괴해 정상적으로 부팅할 수 없는 사례가 발견되어 PC 사용자들의 주의가 필요한 상황입니다.


DDoS 공격에 사용되어진 악성코드는 특정 확장자로된 파일을 임의의 압축 파일 형식으로 바꾸어 암호가 설정되 압축 해제가 불가능한 특징을 가지고 있으며, 하드디스크의 부팅에 관여하는 MBR (Master Boot Record)를 "Memory of the Independence Day" 문자로 덮어쓰기를 해 정상적인 윈도의 부팅을 할 수 없도록 만듭니다.
현재 악성코드는 Windows 2000/XP/2003/Vista OS에서 .net Framework가 설치된 경우 활동을 개시하도록 제작되었습니다.
이미 알약과 V.TRJ.DDoS.Agent 전용백신을 사용 중인 PC에서는 하드디스크를 손상시키는 악성코드를 치료할 수 있습니다.


※ 아래의 임시 조치 방법은 알약 혹은 전용 백신을 사용하지 않는 PC 사용자의 경우에 해당됩니다.


[정상적인 윈도우 부팅이 안되는 PC의 경우]


악성코드로 인해 이미 시스템의 MBR이 손상되었으며, 특정 확장자 파일이 임의의 압축 파일 형식으로 변환되었을 가능성이 매우 높습니다. 복구 방법은 현재 확인중에 있습니다.


[10일 0시 이전에 컴퓨터 전원을 끈이후 현재까지 PC를 안 켠 경우]


1. 10일 0시 이전에 시스템 종료를 한 후 아직 PC를 켜지 않은 경우에는 하드디스크 MBR 손상과 특정 확장자 파일의 압축 파일로 변환이 안되었을 가능성이 큽니다. 즉, 아직 시스템이 손상되지 않은 상태입니다.


2. 컴퓨터 부팅화면 초기에 F8 버튼을 눌러 "안전모드"로 부팅하고 컴퓨터 시간을 "7월 10일" 이전으로 충분한 날짜를 설정합니다. 예) 3월 3일


안전모드 부팅화면

3. 알약 혹은 알약전용백신으로 PC를 검사하여 DDoS 관련 악성코드에 PC가 감염되었는지 여부를 확인합니다.


전용백신 화면

[수동파일삭제, Windows XP 경우]
C:\Windows\System32\mstimer.dll
C:\Windows\System32\wversion.exe


4. 악성코드를 치료하였거나 문제가 없다면 재부팅한 후, 다시 한번 알약의 정밀검사를 수행한 뒤에 시스템 날짜를 원래대로 변경하시면 됩니다.


[10일 이전에 PC를 켜둔 상태로 아직 PC를 종료하지 않은 경우]


1. 절대로 PC의 전원을 종료하지 마시기 바랍니다.


2. 알약 전용백신을 다운로드 하거나 알약을 설치하여 정밀검사를 실시하여 DDoS 악성코드를 치료합니다.


3. 10일 이전에 PC를 켜두었으며, 10일 0시가 지난 지금까지 아직 PC를 종료하지 않은 상태에서 DDoS 악성코드에 감염되었다면 PC는 동작하고 있지만 하드디스크내 데이터가 암호화 압축되고 원본 데이터가 삭제되는 현상이 발생하고, 시스템 MBR이 손상되었을 가능성이 큽니다.


4. 시스템 MBR이 손상된 경우 시스템 복구가 어렵습니다. 먼저 데이타 복구툴을 이용해 삭제된 원본 데이터를 복구하시기를 권장합니다. 아래의 제품들을 활용하시어 데이터 복구 작업에 도움이 되시길 바랍니다.
- Restoration
- Portable DataRecovery


이번 사건과 같은 DDoS의 주범인 좀비 PC를 없애기 위해서는 보안패치를 적용을 생활화하고 백신을 설치하여 자동 업데이트와 실시감 감시를 켜 놓는 것이 중요하며 주기적인 검사 실행으로 숨어있는 악성파일까지 차단, 치료해야 합니다.