MBR 변조로 정상부팅을 막는 satana 랜섬웨어 분석 보고서 



 

 

1. 개요

satana 랜섬웨어는 컴퓨터 부팅에 필요한 정보를 저장하는 하드디스크의 MBR(Master Boot Record)영역을 변조하여 부팅이 불가능하게 만들며 사용자 파일을 암호화한다. 


감염된 컴퓨터가 부팅될 때 *랜섬노트 출력으로 인해 커스텀 부트로더(Bootloader, 윈도우 부팅을 위해 실행되는 명령어)가 정상 작동하지 않으며, 내부 변수 값들이 디버그 메시지로 상세하게 출력되는 등 개발 단계 소프트웨어의 특징이 나타난다.


해당 랜섬웨어의 랜섬노트를 보면 아래 창과 같이 0.5비트코인(2016.07.07일 기준 약 400,000 KRW)지불을 조건으로 복호화 소프트웨어를 전송해 주겠다는 메시지를 담고있다.


*랜섬노트(Ransom note): 일반적으로 유괴범이 쓴 몸값을 요구하는 편지를 의미하는데, 랜섬웨어에서도 비슷한 의미로 암호화된 파일을 인질로 돈을 요구하는 메시지로 통용된다.



[그림] satana의 랜섬노트




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

satana.exe

파일크기

50,861 byte

진단명

Ransom/W32.Satana.50861

악성동작

MBR 변조, 파일 암호화

네트워크

185.xxx.xxx.186 – 감염정보 수신 서버






 


2-2. 유포 경로

satana 랜섬웨어는 아직 유포되지 않은 개발 단계인 것으로 보이는데, 커스텀 부트로더가 정상적으로 랜섬노트를 출력하지 못한다는 점과 디버그 메시지를 통해 아래와 같이 실행 중 내부 변수 값을 상세하게 출력해주는 점이 그 이유이다.

대게 악성코드 제작자들은 최종 결과물에서 이런 디버그 메시지를 남기지 않는 것이 일반적이다.



[그림] 동작 중 출력되는 디버그 메시지





2-3. 실행 과정

satana 랜섬웨어는 http://185.***.**.186/add.php로 아래와 같은 감염 정보를 송신한다.

- sdata: [커널 버전].[빌드 번호] [서비스팩] [사용자 이름]

- name: 최초 실행된 바이너리 이름

- dlen: 해커의 감염자 식별 코드



[그림] 감염 정보 패킷 송신



이후 %TEMP% 폴더 하위에 랜섬노트 !satana!.txt 를 생성하고, 임의의 파일명으로 자가 복제 후 실행시킨다. 복제된 파일 실행 시 사용자 계정 컨트롤(UAC)창이 나타난다. UAC 알림 창은 관리자 권한을 요구하는 어플리케이션이 실행될 때 실행해도 되는 파일인지 한번 더 확인 시켜주는 정책이다. 권한 요청을 허용하지 않아 실행되지 않도록 해도 숙주 파일(satana.exe)이 반복해서 복제된 파일을 실행시키기 때문에 UAC창은 지속적으로 나타난다.


[그림] UAC 알림 메시지



이후 악성 동작은 관리자 권한을 얻은 복제된 파일에서 수행된다.


 



3. 악성 동작

3-1. MBR 변조

MBR을 자신의 랜섬노트를 출력하기 위한 커스텀 부트로더로 변경한다.


[그림] satana의 커스텀 부트로더


 

[그림] 부트로더에 포함된 랜섬 노트


 



3-2. 파일 암호화

윈도우가 하드디스크 볼륨의 스냅샷을 백업해 놓은 파일인 볼룸 섀도우 복사본(Volume Shadow Copy)을 삭제하기 위해 %SystemRoot%\system32\VSSADMIN.EXE을 “Delete Shadows /All /Quiet” 옵션으로 실행시킨다.


파일 암호화가 진행되면 파일명은 아래 그림과 같이 “이메일___원본파일명.확장자” 형식으로 변경된다.


[그림] 변경 전(좌)과 변경 후(우)의 파일명



암호화 된 파일은 아래 그림처럼 원본과 동일한 패턴을 보인다. 일반적으로 암호화 전후 패턴이 같은 경우 블록 암호화 방식 또는 XOR연산을 기반으로 암호화 방식이 쓰인 경우가 많다.



[그림] 변경 전(좌)과 변경 후(우)의 파일명




4. 결론

satana 랜섬웨어는 악성 동작을 행할 때 관리자 권한을 필요로 하므로 UAC 창을 출력시킨다. 권한을 얻을 때까지 계속해서 UAC창을 출력하기 때문에 사용자는 감염을 피하기 어렵게 느낄 수 있다. 이 때 실행되어 있는 숙주 파일의 프로세스를 종료시키고 허용을 거부하면 피해를 막을 수 있다. 하지만 아직 유포되기 전인 미완성 악성코드인 만큼, 이후 UAC우회 기능이 추가될 가능성이 있기 때문에 각별한 주의가 필요하다.


대부분의 기능이 제대로 작동하는 점에서 랜섬웨어 유포 가능성이 매우 높다. 사용자는 랜섬웨어 감염을 피하기 위해서 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염 예방을 해야 할 것이다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

 MBR 변조에 파일 암호화까지, PETYA-MISCHA 변종 랜섬웨어 분석 보고서 



 

 

1. 개요

지난 4월 시큐리티 대응센터에선 일반 랜섬웨어 다르게 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 PETYA 랜섬웨어를 분석한 바 있다. 독일어로 이력서란 파일명으로 위장하여 사용자의 PC를 감염을 유도한 PETYA 랜섬웨어, 이 랜섬웨어가 파일 암호화 동작까지 추가된 PETYA-MISCHA 변종으로 나타나 사용자의 주의가 요구된다.


참고 : PEYTA 랜섬웨어 보고서




                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

PDFBewerbungsmappe.exe

파일크기

899,584 Byte

진단명

Trojan/W32.Mikhail.899584

악성동작

혼합 랜섬웨어






 


2-2. 유포 경로

PETYA 랜섬웨어가 독일어로 된 이력서 파일로 위장하고 있듯이 이번 PETYA-MISCHA 변종 랜섬웨어도 PDFBewerbungsmappe(독일어로 지원서) 라는 파일명으로 사용자를 속이고 있다. 또한, 독일어를 알지 못해 이력서파일로 위장한 지 몰라도 파일 아이콘 모양이 PDF 아이콘 모양을 띄고있어, “알려진 파일 형식의 파일 확장명 숨기기” 옵션을 사용하고 있는 사용자는 일반 PDF 파일로 착각하여 실행 할 위험이 있다.


[그림 1] 확장명 숨기기 옵션을 사용하지 않을 경우 나타나는 파일 확장명(.exe)





2-3. 실행 과정

해당 악성코드의 특징은 실행 시 자신을 다른 계정으로 실행시킬 수 있도록 만들어 이 과정에서 메시지 창이 출력된다. 사용자 계정 컨트롤(UAC) 또는 다른 계정으로 실행하는 알림창에서 예(확인) 또는 아니오(취소)를 선택하면 선택에 따라 각기 다른 악성동작을 수행한다. ‘예’를 누를 경우 PETYA(MBR 변조) 동작이 진행되며, ‘아니오’를 누르면 MICHA(파일 암호화) 동작을 수행한다.


해당 알림창이 출력됐다고 해서 무조건 악성코드에 감염되는 것은 아니다. 본격적인 암호화 또는 MBR 변조 행위는 알림창에서 예, 아니오를 선택한 이후에 동작이 되므로 알림창이 출력된 상태에서 PC를 강제종료 하면 악성동작을 수행하지 않는다.


[그림 2] 다른 계정(권한)으로 악성코드를 실행하도록 만드는 코드



[그림 3] 윈도우7에서 악성코드 실행 시 출력되는 사용자 계정 컨트롤 창



[그림 4] 윈도우XP에서 악성코드 실행 시 출력되는 알림창

 

 



3. 악성 동작

3-1. 백신 탐지

PETYA-MISCHA 변종 랜섬웨어는 Program Files 경로의 백신이 설치된 폴더 속성을 조회한다. 대상이 되는 백신은 아래와 같다.


[그림 5] 조회 대상이 되는 백신명


 

[그림 6] 실제 악성코드에서 사용하는 문자열


 



3-2. 코드 인젝션

사용자 계정 컨트롤(UAC) 창에서 아니요 또는 종료 단추를 클릭하면 악성코드는 exeplorer.exe에 인젝션을 시도한다. 이후 다른 프로세스로 인젝션 된 코드에서 파일을 암호화를 수행한다.


[그림 7] 특정 프로세스에 인젝션을 시도하는 코드



3-3. 파일 암호화

인젝션 된 코드에서 각 종 파일을 암호화하며 각 폴더에 복호화 안내문 파일인 YOUR_FILES_ARE_ENCRYPTED.HTML 과 YOUR_FILES_ARE_ENCRYPTED.TXT 를 생성한다. 암호화 대상이 되는 파일의 확장자는 아래와 같으며, 암호화 된 파일은 4자리의 임의의 문자열로 된 확장자를 갖는다.


[그림 8] 암호화 대상 확장자 명


[그림 9] 사용자 파일과 지정된 확장자를 비교하는 코드




[그림 10] 파일 암호화 전과 후 비교




3-4. MBR 코드 변조

사용자 계정 컨트롤(UAC) 창에서 예(확인)를 선택 했을 시 기존의 PETYA 와 같은 방식으로 MBR 을 변조시킨다. MBR 변조가 완료 되면 강제로 PC를 종료 시키며 정상 부팅이 되지 않는다. 이후 PETYA와 동일한 방식으로 금전을 요구한다.



[그림 11] MBR 변조 후 금전 요구 안내화면


4. 결론

하나의 악성코드에 또 다른 악성동작이 추가 되어 새로운 변종이 나타나는 경우는 종종 있다. 이번 보고서에선 일반 악성코드가 아닌 최근 유행하고 있는 랜섬웨어에 악성동작이 추가되었다는 점에서 주의 깊게 볼 필요가 있다. 특히 파일 실행 후 출력되는 사용자 계정 컨트롤(UAC) 창에서 악성코드가 의심되어 ‘아니오’ 버튼을 누르더라도 PC의 파일이 암호화가 된다는 점에서, 사용자가 해당 악성코드를 자세히 알지 못하는 한 감염을 피하기 어렵다. 


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, nProtect Anti-Virus/Spyware V4.0 의 MBR 보호기능으로 실행을 방지할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 12] nProtect Anti-Virus/Spyware V4.0  MBR 보호기능

 


[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

 MBR 변조로 정상 부팅을 방해하는 PETYA 랜섬웨어 분석 보고서 



 

 

1. 개요

일반적인 랜섬웨어는 표적이 되는 특정 파일을 암호화 하여 해당 파일을 복구하는 대가로 금전을 요구한다이때사용자의 PC는 암호화된 파일을 여는 것 외에는 정상작동을 할 수 있었다


최근엔 이런 일반적인 랜섬웨어의 동작에 고정관념을 깨고 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 랜섬웨어가 등장하였다. 또한 이 랜섬웨어는 파일공유 서비스를 이용해 유포되고 있으며 파일명이 독일어이지만 이력서 파일로 위장하고 있어 사용자에게 큰 피해가 우려된다.


본 보고서에선 파일 암호화가 아닌 MBR 코드를 변조하는 PETYA 랜섬웨어를 집중 분석하고 예방 및 해결책을 명시하여 사용자 피해를 최소화하고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

Bewerbungsmappe-gepackt.exe

파일크기

364,032 Byte

진단명

Trojan/W32.Petr.364032

악성동작

랜섬웨어, 하드디스크 암호화






 


2-2. 유포 경로

해당 악성코드는 파일공유 서비스 “드롭박스” 를 이용하여 유포 되었다공격자는 악성파일을 업로드 한 드롭박스 링크에 접속 유도하여 파일을 다운받게 한다유포방식에 있어서 랜섬웨어가 흔히 사용해오던 가짜 메일을 통한 오피스 매크로 방식이 아닌파일공유 서비스를 이용했다는 점에서 악성코드가 유포 방식이 다양하다는 것을 나타낸다.





2-3. 실행 과정

해당 악성파일은 Bewerbungsmappe-gepackt.exe (독일어로 패키지 애플리케이션 포트폴리오를 의미파일명을 가진 가짜 이력서 파일로 위장하여 실행을 유도한다파일 실행 시 PC 하드디스크에 접근하여 코드 변조 및 암호화를 수행한다이후 강제로 종료 에러를 발생시켜 재부팅을 하게 만든다이 때재부팅을 하게 되면 정상부팅이 되지 않으며, 공격자가 만든 금전을 요구하는 페이지가 나타난다.



[그림 1] 가짜 이력서 파일로 위장한 악성파일





[그림 2] 강제로 발생된 시스템 에러

 

 



3. 악성 동작

3-1. MBR 코드 변조

악성코드는 기존의 정상 MBR 코드를 XOR 연산으로 호화 시킨 후 특정 위치에 백업한다이후 자신의 코드를 MBR 영역의 시작지점과 예약된 공간에 덮어 쓴다정상 MBR 코드의 경우 부팅 가능한 파티션으로 점프 시키는 역할을 하지만덮어 쓰여진 악성코드는 예약된 공간에 쓰여진 추가적인 악성코드로 점프 시킨다.




[
그림 3] MBR 영역에 덮어 쓰여진 악성 코드

 



예약된 공간에 쓰여진 악성코드는 디스크에서 파일을 읽어 들이는 추가적인 부분을 암호화 하며사용자에게 금전을 요구하는 화면을 띄운다.

 



[
그림 4] 변조된 코드로 불가능해진 정상부팅

 



[
그림 5] 랜섬웨어 감염 안내와 금전 요구 화면



4. 결론

MBR 등 하드디스크의 구동에 필요한 직접적인 정보를 변형시켜 컴퓨터의 부팅 자체를 막거나 가지고 있는 데이터를 못쓰게 하는 악성코드는 종종 대규모의 사이버 공격에서 사용되곤 했다.최근엔 이런 방식이 랜섬웨어에서 발견되고 있으며 앞으로도 멈추지 않을 것으로 보인다


이전 파일을 암호화 하는 방식의 랜섬웨어가 정보 소멸의 공포감을 느끼게 하여 금전을 탈취 했다면하드디스크를 조작하는 랜섬웨어는 컴퓨터를 사용 할 수 없게 만들어 사용자에게 더 큰 두려움과 피해를 줄 것으로 예상한다.


랜섬웨어 류의 악성코드는 한번의 실행으로 돌이킬 수 없는 상황까지 진행 될 수 있으므로 출처가 불분명한 파일이거나 의심스러운 파일은 한번 더 신중히 생각하여 실행할 필요가 있으며백신제품의 실시간 감지를 사용하여 의심스러운 파일의 실행을 방지하는 대비도 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, nProtect Anti-Virus/Spyware V4.0  MBR 보호기능으로 실행을 방지할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[그림 6] nProtect Anti-Virus/Spyware V4.0  MBR 보호기능

 



[
그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[
그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

PC 부팅을 막는 MBR 악성코드



1. 개요


하드디스크의 MBR(Master Boot Record ; 마스터부트레코드) 영역을 파괴하여 PC 부팅을 못 하게 만드는 MBR 악성코드가 성행하기 시작했다. MBR 영역을 파괴하는 악성코드는 이전 한수원 해킹 사건, 3.20 사이버 테러, 6.25 사이버테러 등에서 국내 주요기관을 마비시킨 이력이 있다. 


MBR이란 파티션 된 저장장치(하드 디스크, 이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는, 저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보, 부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다.


이에 잉카인터넷 시큐리티 대응센터(ISARC)는 해당 악성코드에 감염되면 MBR영역이 어떻게 변하는 지에 대해 분석 하였으며, 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus/Spyware V4.0 (nProtect AVS V4.0)의 MBR 보호 기능을 소개하고자 한다.





2. MBR 악성코드 감염


아래 그림은 PC에 장착된 하드디스크에 직접 접근하여 저장된 데이터를 확인한 모습이다. 하드디스크의 시작부분(0번 섹터, 512 byte)에 MBR이 저장된 모습을 확인할 수 있다. 0번 섹터의 마지막 2바이트에 55 AA를 확인할 수 있는데, 이것은 이 MBR이 정상이라는 표식(시그니처)으로, 이 부분이 손상되면 정상적인 MBR이 저장되어 있더라도 손상된 것으로 간주한다.




[그림] 감염 전 정상 MBR





MBR 악성코드 중 하나인 KillDisk3.exe 에 감염된 후 동일 하드디스크를 확인해 보면 아래와 같이 MBR의 모든 데이터가 0으로 채워진 것을 확인할 수 있다. 물론 마지막 55 AA 시그니처 또한 손상되어, 이 하드디스크로는 더 이상 부팅을 할 수 없게 된다.




[그림] 감염 후 MBR




[그림] 부팅 실패





3. MBR 보호


아래는 동일 PC 동일 환경에 잉카인터넷 백신 nProtect AVS V4.0을 설치한 상태로 진행한 테스트 화면이다. [2. MBR 악성코드 감염]과 동일한 환경에서 같은 악성코드를 실행했다. 그 결과 nProtect AVS V4.0의 MBR 보호 기능이 동작하며 MBR 파괴 행위를 막고 해당 영역을 보호한 것을 확인 할 수 있다.


따라서 알려지지 않은 악성코드(백신이 감지하지 못한 악성코드)에 감염되더라도 MBR 파괴 행위를 방지하여 최소 MBR영역의 파괴를 막을 수 있는 것이다.

 



[그림] MBR 보호 기능 작동




[그림] 보호된 MBR





잉카인터넷은 2011년 북한 발 MBR 파괴 공격, 3.20, 6.25 사이버테러 사태 시 PC의 MBR영역을 보호기능을 제공하는 nProtect MBR Guard를 제작 및 배포한 이력이 있다. nProtect MBR Guard의 MBR 보호 기능은 잉카인터넷 백신 AVS V4.0에 기본 탑재되어 있어, 부가적 프로그램 설치 없이 백신 프로그램 nProtect AVS 제품만으로도 MBR보호 동작을 수행할 수 있다.


nProtect AVS는 MBR영역 뿐만 아니라 볼륨영역을 함께 보호 할 수 있어 KillMBR 계열의 악성코드 위협으로부터 PC를 안전하게 지킬 수 있다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

 


  

[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면




[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면


※ nProtect AVS V4.0 베타버전을 사용하고 싶은 사용자는 http://avs4.nprotect.com/에 접속하면 제품 설치본과 소개서를 다운받을 수 있다.


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

잉카인터넷, 더욱 강력해진 사용자용 PC보안 제품 'nProtect Anti-Virus/Spyware V4.0 베타' 출시


○ 행위기반탐지 강화로 신규 변종 바이러스, 스파이웨어 감지
○ MBR, 볼륨 영역의 변조를 방지하는 MBR보호 기능 탑재





 정보보안 전문기업 잉카인터넷(대표 주영흠)이 사용자 컴퓨터의 안전을 위해 보안 기능을 대폭 강화한 사용자용 PC보안 제품 ‘nProtect Anti-Virus/Spyware V4.0 (이하 nProtect AVS V4.0) 베타버전’을 새롭게 출시했다고 4일 밝혔다.


잉카인터넷 신제품 nProtect AVS V4.0은 기존기능에 행위기반탐지와 MBR보호가 추가된 것이 특징이다. 먼저, 행위기반탐지는 사용자 PC의 침투한 악성코드 행위를 관찰하여 진단하는 기술이다. 기존 시그니처 방식으로는 탐지가 어려웠던 알려지지 않은 바이러스까지 탐지하는 것이 장점이다.


특히, 행위기반탐지 기술은 문서프로그램의 취약점을 이용해 공격하는 악성코드의 실행을 실시간으로 차단하고, 파일의 변형을 막는다. 이로 인해 워드나 엑셀 등의 매크로를 이용해 작업한 문장을 바꾸는 매크로바이러스에 대한 사전 방지를 할 수 있으며, 문서 취약점을 이용한 APT 공격에 대한 탐지가 강력해졌다.


두 번째 강화한 기능은 하드디스크의 MBR(마스터부트레코드) 영역 파괴를 방지하는 ‘MBR보호’이다. MBR이란 컴퓨터가 부팅할 때 필요한 정보를 저장하는 장소이며 메모리가 이 MBR의 정보를 읽어 운영체제(OS)를 작동시킨다.


만약 MBR영역이 파괴되면 PC 부팅이 불가하므로 시스템을 사용하지 못한다. 악성파일이 백그라운드 상에서 MBR영역을 파괴시키면 블루스크린이 뜨고, 윈도우 사용이 불가하다. MBR이 손상된 하드디스크는 정상적인 부팅이 어렵고 저장된 데이터에 대한 복구가 어려운 것이 문제다.


MBR보호 기능은 이러한 문제를 방지하기 위해 악성파일이 MBR영역과 더불어 볼륨영역에 접근하는 것을 막아 MBR영역의 손상을 차단한다. 특히, 잉카인터넷의 MBR보호 기술은 과거 전용 솔루션 nProtect MBR Guard로 제작, 국내 주요 은행과 방송사를 마비시킨 3.20, 6.25 사이버테러 사태 때 무료 배포되어 DDoS 공격을 예방하고 사용자 사이에서 그 기술력을 인정받은 이력이 있다.


기본 기능인 안티 바이러스, 스파이웨어 탐지도 향상됐다. 이번 기본기능의 중점은 자체 개발한 타키온 엔진을 향상시켜 빠른 스캐닝과 멀티 진단이 가능하다는 점이다. 이로 인해, 컴퓨터에 침투한 바이러스, 스파이웨어의 실시간 탐지가 더욱 가벼워지고 빨라졌다. 또한 탐지된 악성코드에 대한 진단 및 치료, 삭제 기능을 멀티로 구현하여 더욱 업그레이드시켰다.


이 외에도 ▲하드웨어 변경 없이 간단한 조작으로 게임 성능 및 인터넷 속도를 최적화시켜주는 게임최적화 기능 ▲제품 내 모듈의 위, 변조와 해킹 여부를 확인하는 무결성 검증 ▲제품 자체 레지스트리, 파일, 프로세스 보호 ▲바이러스 검역소 백업 및 복원 등 부가 기능을 강화하였다. 또한, 최근 출시한 윈도우10을 지원한다.


게다가 전문 인력으로 구성된 잉카인터넷 시큐리티 대응센터(ISARC)가 365일 실시간으로 악성코드, 해킹에 대응하며, 수집한 악성코드 정밀분석, 분석 보고서 제공과 정기 업데이트를 통해 신규 악성코드에 대한 빠른 보안을 제공한다.


잉카인터넷은 nProtect AVS V4.0 베타버전을 사용자에게 공개하여 제품에 관한 피드백을 적극적으로 수렴해 정식 버전 개발에 참고할 계획이다. nProtect AVS V4.0 베타버전을 사용하고 싶은 사용자는 http://avs4.nprotect.com/에 접속하면 제품 설치본과 소개서를 다운받을 수 있다.
 

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
■ 긴급 대응 중

2013년 03월 20일 14시 경부터 금융권, 방송사 등 컴퓨터가 동시다발적으로 부팅되지 않는 피해가 발생하였다. 잉카인터넷 대응팀은 의심파일을 다수 수집하여 다양한 분석업무와 전사긴급 대응체제를 가동 중에 있으며, 이글은 2013년 03월 20일부터 계속적으로 업데이트되고 있다.

[분석보고서 Ver 3.0]

[20130321]_KillMBR_Ver_3.0.pdf


수집된 파일들 중 파일명이 확인된 것들은 다음과 같다.

- ApcRunCmd.exe
- AgentBase.exe
- OthDown.exe
- mb_join.gif (exe)
- container.exe
- orpsntls.exe
- v3servc.exe
- shellservice.exe
- themeservics.exe
- logoninit.exe
- msnlsl.exe
- Update.exe
- xupdate.exe
- schsvcsc.dll
- morpsntls.exe
- page.gif (exe)
- schsvcsc.exe
- LGservc.exe (logo.jpg)
- vmsinstaller.exe
- oleshsvcs.dll
- schedsrv.dll
- kpo.exe 등 외 다수

숙주역할의 파일도 여러 건이 확인된 상태로, Dropper 파일이 실행되면 사용자 계정의 임시폴더(Temp) 에 별도의 파일을 설치한다. 이 중 "AgentBase.exe" 파일명은 MBR 영역을 파괴하는 악성파일이고, 파일명은 동일하지만 다른 형태의 악성파일도 존재하는 경우가 있다.


"~pr1.tmp" 파일은 "SunOS", "AIX", "HP-UX". "Linux" 운영체제의 계열을 체크하고, 악의적인 파괴스크립트 기능을 수행한다.


"alg.exe" 파일은 Command-line SSH 정상프로그램이고, "conime.exe" 파일은 Command-line SCP/SFTP client 정상 프로그램이다.


또 다른 Dropper/Downloader 경우는 실행 시 그림파일 확장자로 위장한 악성파일을 국내 특정 웹 사이트에서 다운로드한다.

"paper.gif" 파일은 사용자 계정의 임시폴더(Temp)에 "v3servc.exe" 이름으로 생성되고 실행된다. 그리고 "w7e89.tmp" 이름의 악성파일도 생성시킨다. 이후에 시스템 폴더 경로에 "shellservice.exe", "themeservics.exe" 등의 악성파일을 생성한다.


생성된 파일 중 일부코드에는 아래와 같이 제작자가 "Concealment Troy" 와 같이 숨김기능의 트로이목마라는 표현을 사용하고 있다.

더불어 국내 특정 전산망의 웹 사이트를 접속했을 시 발생했던 디페이스(Deface) 현상과 관련된 악성파일도 발견된 상태이다. 디페이스된 웹 사이트에는 다음과 같은 내용이 포함되어 있었다.

Hacked By Whois Team
Who is Whois?
We have an Interest in Hacking. This is the Beginning of Our Movement. User Acounts and All Data are in Our Hands. Unfortunately, We have deleted Your Data. We'll be back Soon.

('우리는 해킹에 관심 있다. 이것은 우리 행동의 시작이다. 사용자 계정과 데이터는 우리 손에 있다. 불행하게도 우리는 데이터를 삭제했다. 우리는 곧 다시 돌아온다.)


상기 화면에 사용된 코드를 보유하고 있는 악성파일이 확인되었고, 연관성에 대한 조사와 분석을 계속 진행 중에 있다. 특히, 해당 악성파일도 MBR 및 파일 파괴 기능을 보유하고 있는 것으로 확인된 상태이다.

이번 디페이스는 2012년 06월 09일 오후 6시 30분 경부터 발생했던 중앙일보 뉴스 사이트의 디페이스 형식과도 매우 흡사하다. 당시에는 "Hacked by IsOne" 이라는 문구가 포함되어 있었다.

 


추가로 국내 언론 영문 방송 사이트가 [2013년 03월 21일 03:24 GMT] 디페이스(Deface) 공격 피해를 입었고, 화면에 Hastati 라는 문구가 포함되어 있다. 해당 문구는 국내 언론사와 금융사 등에 MBR 파괴기능을 수행했던 악성파일의 내부 문구와 동일하다.


디페이스된 웹 사이트 화면에는 다음과 같은 문구의 링크가 포함되어 있고, 숫자로 표현된 일종의 단순 암호문을 다시 변경하면 그 아래와 같다.

T0 s33 7h47 the 0th3r Sit3 H4ck3d...click h3r3!!!
You'11 s33 th3 0ur im4g3...

To see that the other site Hacked...click here!!!
You'll see the our image...

해킹당한 다른 사이트 보려면...여기를 클릭!!!
우리의 이미지를 보시게 될 것이다...

해당 문장에는 또 다른 영문 언론사 사이트가 연결되어 있으며, 해당 이미지는 Adobe Photoshop 7.0 으로 만들어졌고, 2013년 03월 14일 만들어진 것으로 추정된다.



악성파일 중에는 하드디스크의 MBR(Master Boot Record)영역을 파괴하고, 데이터 파일들도 복구가 어렵도록 조작하고 파괴하는 기능이 다수 존재한다.

변종에 따라서 MBR 영역에 특정 문구(HASTATI, PRINCPES, PR!NCPES)가 포함되는데 일부는 문자열이 없이 파괴되는 경우도 존재한다.




악성파일은 "JO840112-CRAS8468-11150923-PCI8273V" FileMapping 오브젝트를 생성하여 중복실행을 방지하고, 변종에
따라서 오브젝트 값이 조금씩 다른 경우가 존재한다.

또한, Taskkill 명령어를 통해서 국내 특정 보안프로그램의 프로세스를 강제 종료하는 기능 등도 수행한다.

- Taskkill /F /IM pasvc.exe
- Taskkill /F /IM clisvc.exe


더불어 잉카인터넷은 특정 악성파일 내부에 파괴날짜가 포함된 것을 최초로 발견하였다. 2013년 03월 20일 오후 2시 이후부터 파괴기능이 동작되도록 만들어져 있고, 변종에 따라 즉시 파괴작동을 수행하거나 03월 20일 오후 3시 이후부터 파괴동작을 작동하는 변종도 발견되었다.


특정 변종의 경우 시스템폴더 경로에 "schsvcsc.exe", "schsvcsc.dll" 파일을 생성하고, lsass.exe 정상 프로세스에 인젝션되어 작동되며, 컴퓨터의 시간이 03월 20일 오후 3시 이후부터 MBR 등의 파괴기능을 수행하게 된다.


2013년 03월 24일 경 새로운 형태가 발견되었는데, 특정 프로그램의 업데이트 파일명처럼 위장하였고, 국내 특정 날씨 관련 사이트의 악성 스크립트(blank_image.js)를 통해서 유포되었다. 따라서 불특정 다수의 사용자가 감염되었을 가능성이 있다. 이 파일은 "mb_join.gif" 그림파일로 위장하고 있으며, 0x30, 0x82 로 시작된다.


"mb_join.gif" 파일 내부에 포함되어 있는 명령을 통해서 또 다른 악성파일이 다운로드(X********_updatge.gif)되는데, 악성파일은 보안 제품들의 실시간 탐지를 우회하기 위해서 실행파일(EXE)의 헤더를 43 바이트 조작(0x30 0x82 시작)하였고, "xupdate.exe" 파일로 생성되고 실행된다.


"xupdate.exe" 파일이 실행되면 아래의 경로로 접근하여 마치 그림파일처럼 위장한 "logo.jpg" (exe) 파일을 다운로드하고 실행한다. 그러면 사용자 계정의 임시폴더(TEMP)에 "LGservc.exe", "w7e89.tmp" 파일 등이 생성된다.


2013년 3월 26일 오후 1시 53분 기준 등록된 YTN 미투데이에서는 YTN과 모든 계열사 인터넷 홈페이지가 사이버 테러 추정의 이상 증세로 접속이 이뤄지지 않는다고 밝혔다.


이외에도 탈북자 단체 및 대북매체 관련 사이트도 피해가 발생하였고, 일부는 복구가 된 상태이다.


잉카인터넷에서는 해당 악성파일과 MBR 영역을 보호하는 솔루션 등을 무료로 배포하고 있고, nProtect AVS 3.0 제품에는 다양한 변종에 대한 탐지 및 치료기능을 추가하고 있다.


[전용백신 & MBR Guard]
http://avs.nprotect2.net/nsp2010/downloader/nProtect_KillMBR_.exe
http://avs.nprotect2.net/nsp2010/downloader/nPMBRGuardSetup.exe


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 BIOS와 MBR 변조를 시도하는 악성파일이 등장하여 사용자들의 각별한 주의가 요망된다. BIOS, MBR이 변조될 경우 지속적인 재감염 증상을 유발할 수 있으나, 해당 악성파일은 현재까지 특별한 감염 증상이 없고 몇가지 정황으로 미루어 보아 테스트 용도로 제작되었음이 추정되고 있다. 그러나 BIOS와 MBR이 변조되면 백신을 통한 정상적인 치료에 어려움이 있을 수 있다. 때문에 이번 글을 통해 BIOS와 MBR이 변조될 경우 수행할 수 있는 간단한 수동조치 방법에 대해 알아보고 피해를 미연에 최소화 할 수 있도록 하자.

BIOS(Basic Input Output System)

- 컴퓨터의 가장 기본적인 기능을 처리해 주는 프로그램들의 집합을 의미하며, 운영체제의 가장 하위에 속해 있다. BIOS는 입출력장치나 주변장치의 구동을 위한 루틴들의 집합체라고 할 수 있으며, 모든 소프트웨어는 BIOS의 계층을 기반으로 동작하게 된다.

MBR(Master Boot Record)

- 시스템 구동에 관련된 영역이며, 컴퓨터 구동 시 가장 먼저 하드 디스크의 MBR에 기록되어 있는 프로그램이 읽혀진다. 따라서 해당 영역이 손상되면 컴퓨터 구동이 어려울 수 있다.
  

2. 유포 및 감염 증상

해당 악성파일은 아래와 같은 URL을 통해 최초 유포되었던 것으로 알려졌으나, 현재는 해당 사이트가 차단되어있다.

[유포 추정 URL]

http://dh.(생략).info:806/test/(생략)/calc.exe

자세히 살펴보면 "test"가 URL에 존재하고 있으며, 이는 해당 악성파일이 테스트 용도로 제작 되었음을 추정하는 한 단서가 될 수 있다. 

해당 악성파일은 이번에 확인된 유포지 외에도 이메일의 첨부파일 형태나 메신저, SNS 등의 링크 접속을 통해 다운로드 될 수 있으며, 취약점이 존재하는 웹 사이트에 삽입되어 유포되는 등 다양한 방법으로 추가적인 유포가 이루어질 수 있다. 

이번에 발견된 해당 악성파일은 감염된 PC의 BIOS를 확인하여 Award BIOS일 경우에만 BIOS, MBR 모두 변조를 시도한다. 해당 악성파일에 의한 생성파일 및 BIOS/MBR 변조 등 감염 정보는 아래의 설명 및 그림을 참고할 수 있도록 하자.
  

◆ 생성파일

▶ 생성 순서

ㄱ. C:\bios.sys
   
☞ Award BIOS 여부 확인
ㄴ. C:\bios.sys1, C:\bios.sys2
   
☞ beep.sys 파일을 대체하여 서비스 로드 후 삭제된다.
ㄷ. C:\my.sys
   
☞ IRP_MJ_READ, IRP_MJ_WRITE, IRP_MJ_DEVICE_CONTROL 등 Hooking
     ☞ 루트킷 동작 코드 포함
     ☞ 변조된 MBR 보호 기능
ㄹ. (사용자 임시 폴더)\bios.bin
   
☞ 감염 시 정상 BIOS에 대한 정보 저장
ㅁ. (사용자 임시 폴더)\cbrom.exe(정상파일)
   
☞ BIOS가 감염되지 않았을 경우 악성 rom 파일을 ISA ROM에 추가
ㅂ. (사용자 임시 폴더)\hook.rom
   
☞ ISA ROM에 삽입되어 BIOS 동작 시 악성 동작이 가능할 수 있다.

※ (사용자 임시 폴더)는 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp"을 말한다.

※ ISA(Industry Standard Architecture)는 현재는 PCI 등으로 대체되어 많이 사용되지 않는 방식의 아키텍쳐이다.해당 악성파일은 BIOS에 ISA ROM 영역 설정 등으로 악용이 가능한 점을 이용한 것으로 추정되고 있다.
     ☞ http://en.wikipedia.org/wiki/Industry_Standard_Architecture

◆ 동작 설명

▶ bios.sys 생성 / Award BIOS 여부 확인 / 분기점 존재(Award BIOS가 아닐 시)

우선 감염 시 bios.sys파일이 가장 먼저 생성되며, bios.sys 파일 생성 직후 아래의 감염 동작이 진행된다.

[bios.sys1 / bios.sys2 파일 생성]

 - bios.sys1
 - bios.sys2
 - 해당 파일들은 beep.sys 파일을 대체하여 서비스에 로드된 후 바로 삭제되며, 이 과정에서 beep.sys 파일은 다시 복구 된다.

그 후 bios.sys 파일은 감염된 PC의 BIOS가 Award BIOS인지 확인하는 작업을 진행한다. (여기서 분기점이 생기는데 만약 Award BIOS가 아닐 경우 BIOS 감염 루틴을 생략하고 동일한 감염증상을 보이는 것으로 알려졌다.)감염된 PC에서 Award BIOS가 확인될 경우 bios.sys는 아래의 그림과 같이 SMI_PORT를 찾고, BIOS 사이즈를 정하게 된다.


▶ bios.bin / my.sys 생성 과정

bios.sys는 또한, my.sys 파일을 드롭하며, 현 상태의 BIOS 정보를 저장(bios.bin)하고 저장된 BIOS 정보에 "hook.rom"의 존재 여부를 체크하여 존재하지 않을 경우 bios.bin에 hook.rom을 추가 시도를 한다.

▶ cbrom.exe / hook.rom 생성 / BIOS 감염 과정

이 과정에서 cbrom.exe 툴이 생성되며, 해당 툴은 /isa 파라메터를 이용하여 아래의 그림과 같이 ISA ROM에 hook.rom을 삽입하게 된다.


위 감염 과정까지 완료되면 BIOS에 대한 감염 작업은 마무리 된다.

▶ MBR 변조 과정

BIOS에 대한 감염 과정이 진행되면서 숙주 파일에 의해 MBR이 변조되는 감염 증상을 유발한다. 이때 백업을 위해 특정 영역에 정상 MBR 값을 저장하게 된다.

아래의 그림은 정상 MBR 값이 sector 7에 저장 되기전 정상 MBR 값을 추출하는 과정이다.


위 과정이 완료되면 아래의 그림과 같이 정상 MBR 값을 변조하는 과정을 거치게 된다.


아래의 그림과 같이 정상/악성 MBR 값에 대한 확인이 가능하다.

                                                                             [정상 MBR]

                                                             [변조된 MBR]


▶ my.sys 감염 증상

추가적으로 생성된 my.sys 파일은 IRP_MJ_READ, IRP_MJ_WRITE, IRP_MJ_DEVICE_CONTROL에 대한 Hooking 등의 기능을 수행하는 것으로 알려졌으며, 변조된 MBR에 대한 수정을 방지하는 기능 구현이 내부에 존재한다. 

Device_Object 구조체에서 Driver_Object의 위치를 선정하고 루트킷 기능의 선 실행을 통해 Call 결과를 조작하는 등 Stealth Function 코드가 내부에 존재하지만 현재 감염 증상으로 미루어보아 일반적인 루트킷 기능은 동작하지 않는 것으로 확인되고 있다.

  

위와 같이 해당 악성파일에 의한 감염 동작이 모두 완료되었을 경우 재부팅 시 아래의 그림과 같이 특정 문구("Find it OK")가 출력되는 화면을 볼 수 있다.


위 그림과 같이 재부팅 시 특정 문구("Find it OK")가 화면에 출력되기 위해 MBR이 변조되는 과정에서 아래의 그림과 같이 해당 특정 문구가 변조된 MBR에 포함되어 있다.


3. BIOS, MBR 수동 복구 방법

위와 같은 악성파일에 감염되어 BIOS와 MBR이 변조되면 일반 백신으로 완벽한 치료가 어려울 수 있다. 이러할 경우 아래와 같은 수동 조치 방법을 통해 정상값으로 복원할 수 있으니 참고할 수 있도록 하자.

  

◆ BIOS 수동 복구 방법

BIOS가 변조되었을 경우 감염된 PC의 메인보드 제작사에서 배포하는 BIOS 업데이트 모듈을 통해 복원하는 것이 가장 간단한 방법이다.

아래의 그림은 GIGABYTE 사에서 제공하는 BIOS 업데이트 모듈을 예로 든 방법이니 참고하여 각 PC에 해당하는 메인보드 업체에서 제공중인 업데이트 모듈을 다운로드 받아 복원할 수 있도록 하자.


◆ MBR 복원 방법

MBR이 변조되었을 경우 가지고 있는 "윈도우 설치 CD"를 통해 쉽게 복구가 가능하다. 아래의 그림을 참고하여 변조된 MBR을 복구할 수 있도록 하자.

"윈도우 설치 CD"를 통해 부팅 후 아래의 그림과 같이 키보드에서 "R" 키를 입력하여 복구 콘솔을 실행한다.


② 아래의 그림과 같이 "로그온할 Windows 설치를 선택하십시오." 메시지가 출력되면 키보드에서 숫자 "1"키를 누른 후 계정 암호 입력창이 출력되면 암호 입력 후 Enter키를 누른다. 그 후 "C:\WINDOWS>_" 와 같이 프롬프트가 활성화 되면 "fixmbr" 명령어를 입력 후 Enter키를 누른다. 아래의 그림과 같은 "주의" 메시지가 출력된 후 MBR 생성 여부를 묻는 메시지가 출력되면 키보드에서 "Y"키를 입력한다.

  

위의 방법을 통해 BIOS, MBR 감염에 대한 수동 복구 조치를 모두 진행하면 아래의 그림과 같이 PC 재부팅 시 특정 문구("Find it OK")가 더이상 출력되지 않는 등 수동 복구 조치 완료에 대한 확인이 가능하다.


4. 예방 조치 방법

BIOS, MBR이 변조되는 경우 위에서 설명했듯이 백신에 의한 완벽한 치료가 어렵다. 또한, 위와 같은 수동 복구 조치도 매우 번거로워 일반 사용자의 경우 복구에 어려움을 느낄 수 있다. 결국 이러한 악성파일로부터 안전한 PC사용을 위해서는 잉카인터넷에서 배포하는 MBR Guard 등 MBR 영역을 보호할 수 있는 사전 방역 프로그램 사용과 동시에 아래와 같은 "보안 관리 수칙"을 준수하는 것이 무엇보다 중요하다고 할 수 있다.

  

[MBR Guard V3]

http://avs.nprotect.net/FreeAV/NPMBRGuardSetup.exe
  

※ 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 정보에 대한 출처가 불분명한 SNS 혹은 메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 현황

 - Trojan/W32.Agent.130048.IS
 - Trojan/W32.Small.5632.DS
 - Trojan.Generic.KDV.354955

 






저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect
1. 개 요


최근 온라인 게임 계정정보 탈취를 목적으로 하는 악성파일이 웹 하드 사이트 등을 중심으로 지속적인 유포가 이루어지고 있는 가운데 MBR(Master Boot Record)을 변조하여 지속적인 감염을 유발하는 변종이 출현해 사용자들의 각별한 주의가 요망되고 있다. 해당 악성파일은 감염 후 백신 등을 통해 치료를 진행하여도 재부팅되면 지속적으로 재감염되는 감염증상을 가지고 있어 안전한 PC사용을 위해서는 백신의 실시간 감시 기능 등으로 사전 예방 대책을 마련하는 것이 무엇보다 중요하다고 할 수 있다.

  

2. 유포 경로 및 감염 증상

해당 악성파일은 기존의 "특정 온라인 게임 계정정보 탈취"용 악성파일과 같이 각종 웹 하드 사이트 등을 통해 유포될 수 있으며, 이메일의 첨부파일 형태나 SNS 및 메신저 등을 통해서도 유포될 수 있다.

해당 악성파일은 imm32.dll, lpk.dll 파일과 같은 정상파일을 Patched 형태로 감염 시키는 증상을 보이는 등 기존의 "특정 온라인 게임 계정정보 탈취"용 악성파일과 동일한 감염증상을 보이고 있다. 다만, MBR을 변조하여 지속적인 재감염 증상을 유발하는 것이 핵심이자 차이점이라 할 수 있다.
  

◆ 변조되기 전 MBR

변조된 MBR

위 그림은 MBR의 변조 전과 변조 후의 상태를 보여주고 있다. 위 그림과 같이 MBR이 변조되면 게임 계정 정보를 탈취하는 악성파일이 치료된다고 해도 재부팅될 시 지속적인 재감염 증상을 나타낼 수 있다.

재감염 유발 코드가 포함된 MBR 은 아래의 그림을 통해 확인이 가능하다.

재감염 코드가 포함된 변조된 MBR

  

또한, 감염되면 아래와 같은 추가적인 악성파일들이 생성 및 다운로드 될 수 있다.

※ 생성 파일

 - C:\Windows\lpk.dll
 - C:\Windows\system32\DiskSystem.exe
 - C:\Windows\system32\halc.dll
 - C:\Windows\system32\imm32.dll
 - C:\Windows\system32\ws2sock.dll
 - C:\Windows\system32\dnetcom.dll
 - C:\Windows\system32\drivers\FileEngine.sys


위와 같이 추가적으로 생성된 악성파일까지 감염이 완료되면 lpk.dll 파일 등과 같이 정상파일에 대한 Patched 형태의 악성파일을 통해 온라인 게임 계정정보가 탈취될 수 있으며, FileEngine.sys파일에 의해 특정 백신에 대한 프로세스 실행 감시 기능 등이 동작될 수 있다.

3. 예방 조치 방법

위와 같은 악성파일은 감염될 경우 MBR을 변조시키기 때문에 백신에 의한 완전한 치료가 어려울 수 있다. 이 경우 MBR에 대한 복원 작업이 선행되어야 하므로 아래의 방법을 통해 MBR을 복원 후 백신에 의한 치료를 진행할 수 있도록 하자.

  

변조된 MBR에 대한 수동 복구 및 치료 방법

① 우선 가지고 있는 "윈도우 설치 CD"를 사용하여 아래의 그림과 같이 진행 후 키보드에서 "R" 키를 입력하여 복구 콘솔을 실행한다.


② 아래의 그림과 같이 "로그온할 Windows 설치를 선택하십시오." 메시지가 출력되면 키보드에서 숫자 "1"키를 누른 후 계정 암호 입력창이 출력되면 암호 입력 후 Enter키를 누른다. 그 후 "C:\WINDOWS>_" 와 같이 프롬프트가 활성화 되면 "fixmbr" 명령어를 입력 후 Enter키를 누른다. 아래의 그림과 같은 "주의" 메시지가 출력된 후 MBR 생성 여부를 묻는 메시지가 출력되면 키보드에서 "Y"키를 입력한다.

 

③ 위와 같이 ①, ② 번 항목을 수행하면 MBR에 대한 복구가 완료되며, 백신을 통해 나머지 악성파일들에 대한 치료를 완료 할 수 있도록 한다. 

  

일반 사용자의 경우 위와 같은 악성파일에 의해 MBR 영역이 변조 되더라도 MBR 변조 여부에 대해 인지하기가 쉽지 않으며, 일반적인 방법으로 치료가 어려울 수 있다. 때문에 위와 같은 악성파일로부터 안전한 PC사용을 위해서는 잉카인터넷에서 배포하는 MBR Guard 등 MBR 영역을 보호할 수 있는 사전 방역 프로그램 사용과 동시에 아래와 같은 "보안 관리 수칙"을 준수하는 것이 최선의 방법이라고 할 수 있다.

 

※ 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 정보에 대한 출처가 불분명한 SNS 혹은 메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.


저작자 표시
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect