최근 국내외에서 발견 보고되고 있는 일부 악성코드 중에 비정상적인 레지스트리의 생성과 오작동으로 인해 윈도우가 정상적으로 시작되지 않는 피해 보고가 나타나고 있는 상황이다.

특정 악성코드 감염으로 인해 발생하는 이번 부작용은 해당 악성코드에 감염된 상태에서 재부팅이 시작되는 시점에 발생하며, 정상 모드와 안전 모드 두 조건에서 모두 동일하게 나타난다.

따라서 일반 컴퓨터 사용자가 감염돼 부팅 불가 증상이 나타난 경우 컴퓨터 사용에 있어서 매우 큰 불편과 피해를 입게 될 우려가 높으므로, 사용자들의 각별한 주의가 요구되는 상황이다.

악성코드가 작동돼 감염이 이루어지면 다음과 같은 레지스트리 값을 생성하게 되는데, 이 과정에서 설치된 또 다른 악성 파일이 정상적으로 로딩되지 못하면서 발생하는 부작용 현상이다.

악성코드가 생성한 레지스트리 값 중 데이터 부분은 악성코드가 감염될 때마다 Random 파일명과 확장자 등을 이용하여 생성하기 때문에 감염된 컴퓨터마다 조금 씩 다른 값들이 포함되어 있을 수 있다.

이러한 악성코드 감염에 의해서 정상적인 부팅 진행이 이루어지지 못할 경우에는 다음과 같은 응급 수동 조치 방법을 통해서 해결할 수 있으며, 증상이 발생하기 이전 시점인 재부팅 전에 해당 악성코드나 레지스트리 값을 제거하면 비정상적인 부팅 현상의 발생을 사전에 해결할 수 있다.

잉카인터넷 대응팀에서는 해당 증상을 유발하는 악성코드를 지난 15일 긴급히 수집하고 분석해 nProtect Anti-Virus 제품(군)을 사용하는 컴퓨터 사용자에게 피해를 미연에 예방하고 감염 시 최소화하기 위한 대고객 서비스를 제공 중에 있다.

악성코드 감염 후 재부팅을 시도해 시스템이 정상적으로 시작되지 못하는 경우 다음과 같이 진행한다.

1. 다른 정상 컴퓨터에 감염된 하드 디스크(HDD)를 슬래이브(Slave)로 연결하고, 최신 nProtect Anti-Virus 제품(군)을 통해서 전체 검사를 수행하며, 탐지되는 모든 악성코드를 치료 또는 제거한다.

2. 다음과 같이 레지스트리 편집기를 이용하여 악성코드가 생성한 비정상적인 레지스트리 값을 제거하는 과정을 진행한다. 반드시 감염된 하드 디스크(HDD)가 슬래이브로 연결된 상태이어야 한다.

ⓐ정상적으로 부팅된 컴퓨터에서 레지스트리 편집기를 실행한다(시작버튼→실행→ regedit.exe).

ⓑ레지스트리 편집기 화면에서 HKEY_LOCAL_MACHINE 값을 선택한다.

ⓒ파일(F)메뉴에서 하이브 로드(L)를 선택한다.

ⓓ슬래이브로 연결한 감염 디스크 시스템 하위 경로의 config 폴더에서 software 파일을 선택 후 열기를 한다.

ⓔ키 이름에 임시로 정한 이름을 입력한다.

ⓕHKEY_LOCAL_MACHINE\임시 생성 키 이름\Microsoft\Windows NT\CurrentVersion\Driver32 경로에서 midi9 값을 삭제한다.

ⓖ(HKEY_LOCAL_MACHINE\임시 생성 키 이름)을 선택하고 파일(F) 메뉴 → 하이브 언로드(U)를 선택한다.

ⓗ 슬래이브로 연결했던 하드디스크를 감염되었던 컴퓨터에 다시 마스터로 부착한 후 재부팅해, 정상적으로 부팅이 이루어지는지 확인한다.

이에 문종현 잉카인터넷 시큐리티대응센터 팀장은 “이러한 악성코드의 유입을 사전에 차단하고, 예방하기 위해서는 백신 제품(군)을 항시 최신 버전으로 업데이트해 유지하고, 실시간 감시 기능 등을 활성화 해두도록 하며, 정기적으로 시스템내 악성코드 감염 여부를 파악하는 과정이 중요하다”고 말하고 “최신 윈도우 서비스팩 설치와 매달 정기적으로 발표되는 윈도우 보안 업데이트(패치) 등을 반드시 설치하고, 악성코드가 많이 악용하는 플래시 플레이어 취약점, PDF 취약점 등을 방어하기 위해서 최신 버전을 설치하여 사용하도록 하는 것도 필수”라고 당부했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>