재부팅 안되는 악성코드 출현!

지난해 10월 15일 고객들로부터 ‘재부팅 후 검은 화면에 마우스만 나타나며 정상적으로 부팅이 되지 않는다’는 신고가 접수되기 시작했다. 해당 원인을 파악하기 위해 비정상 시스템의 하드드라이브를 정상시스템에 연결해서 원격지원 프로세스를 진행했다.

분석 결과, 감염된 PC 드라이버 레지스트리에 비정상적인 드라이버가 등록되어 있었고 악성 PDF 파일을 통해 악성코드가 전파되고 있는 상황이었다.

계속적인 변종 악성코드의 등장, 비정상 부팅, 신고건수 증가 등 악성코드로 인한 고객들의 피해 정도가 심각해짐에 따라 하우리는 전용백신을 제작해 대응하기로 결정했다.

악성코드에 감염되면 다음과 같은 경로에 파일을 생성한다.

(윈도우 폴더)\(랜덤한 네임).dat

파일이 생성된 후, 악성코드를 드라이버 관련 레지스트리에 등록한다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Drivers32]

"midi9"="(시스템 폴더)\..\(랜덤한 네임).dat 0yAAAAAAAA"

재부팅 시 해당 드라이버로 등록된 악성코드를 로드하다가 검은색 화면에서 더 이상 진행되지 않는다.

이번 악성코드는 수동으로는 악성코드가 삭제되지 않도록 설계돼 있었다. 이번 악성코드를 진단하기 위해 바이로봇은 Drivers32 레지스트리의 midi9의 데이터를 얻어 진단 파일명과 midi9의 파일명을 비교했다. 이를 통해 얻어진 파일의 확장자가 정상 드라이버 확장자(drv, dll, acm, ax)가 아닌 경우, 파일명이 같으면 특정 치료 로직을 타도록 했다.

이 악성코드는 ‘취약한 사이트’나 ‘악의적인 사이트’의 유도 방문으로 다운로드되며 보통 다른 악성코드들과 함께 설치된다. 예방 방법으로는 신뢰되지 않는 사이트의 방문과 파일 다운로드를 금지하고 Adobe사의 Acrobat/Acrobat Reader 제품의 최신 보안 패치를 해야 한다. 그리고 Microsoft에서 제공하는 최신 보안 패치도 함께 해줘야 한다.

계속적인 변종 바이러스에 대응하기 위해서는 백신S/W의 엔진 버전을 최신으로 유지하고 정기적으로 바이러스/스파이웨어 검사를 해 안전한 PC상태를 유지하는 것이 바람직하다. 부팅장애 바이러스에 감염된 경우에는 다음의 수동조치방법을 참고하기 바란다.

<글 : 황재훈 선임연구원 | 하우리 보안대응센터 (jhhwang@hauri.co.kr)>

[월간 정보보호21c 통권 제113호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>