태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'mbr'에 해당되는 글 2건

  1. 2009.09.12 Fix MBR
  2. 2009.07.10 [DDoS] 7월 10일 0시(이후) 파일 파괴 시작 + 긴급 사전 조치 방법 (2)
감염대처법2009.09.12 09:45
신종악성코드정보2009.07.10 05:36


10일 0시 악성코드(wversion.exe)에 감염되었던 컴퓨터는 파일이 파괴되고, 부팅이 안되는 피해를 입을 수 있습니다.

[피해 소식]

PC 고장 신고 속출…PC대란 우려
http://www.seoul.co.kr/news/newsView.php?id=20090710800010

분산서비스거부(DDoS) 공격 악성코드에 감염된 ‘좀비PC’가 10일 0시부터 자체 하드디스크를 포맷, PC에 저장된 모든 저장정보를 자동 삭제하는 활동을 시작한 가운데 실제 PC가 파괴됐다는 신고가 속속 늘어나고 있어 DDoS 공격에 이은 ‘PC대란’ 우려가 점차 현실화되고 있다.

10일 한국정보보호진흥원(KISA)에 따르면 이날 새벽 1시30분 현재 총 8건의 피해사례가 접수되는 등 심야임에도 점차 신고 건수가 많아질 조짐을 보이고 있다.

실제 접수된 피해사례를 보면 이날 0시 이후부터 실행되도록 설계된 신종 악성코드에 감염된 PC가 갑자기 하드디스크를 자동 포맷하거나, 문서 파일 등을 자동으로 암호를 걸어 압축하는 등의 방식으로 PC를 파괴하고 있는 것으로 나타났다.

감염 컴퓨터 긴급 조치 방법은 아래쪽에 등록되어 있습니다.

[DDoS 일부 변종 악성코드 감염 과정]

msiexec1.exe 파일의 Main 숙주 파일로 추정되고, 어떻게 사용자들 컴퓨터에 설치되었는지는 아직 확인되지 않았다.

해당 파일이 실행되면 일종의 C&C 또는 Downloader 역할을 하게 되어, 다음의 Remote Host 로 접속을 시도하며, _MUTEX_AHN_V3PRO_ 라는 안철수 연구소 제품과 관련된 문자열의 Mutex 를 생성한다.

- 216.199.83.203 80
- 213.33.116.41 53
- 213.23.243.210 443

Host 와 정상적으로 접속이 이루어지면 시스템 폴더에 pxdrv.nls 라는 파일에 특정 데이터를 생성시키며, 분석 시점에는 정상적으로 접속이 이루어지지 않아 0바이트의 파일이 생성되었다.

더불어 패킷 드라이버 파일들을 임시폴더에 임시파일 형태로 생성 시킨 후 변환하여 설치한다.

시스템 폴더에 DDoS 공격용 wmiconf.dll, wmcfg.exe 파일을 생성한다.

WmiConfig WMI Performance Configuration "Stopped" %System%\svchost.exe -k wmiconf

수집된 wmcfg.exe 파일은 정상적으로 실행이 되지 않는데, 만약(조건 성립?) 정상적으로 실행되는 경우 시스템 폴더에 mstimer.dll 을 서비스로 등록하도록 구성되어 있다.


mstimer.dll 파일이 작동하면 특정 Host 로 접속하여 flash.gif 라는 파일을 다운로드한다.

또한, Memory Of... 라는 제목의 SPAM 메일도 다량으로 발송한다.


이 GIF 파일은 JPG 그림파일처럼 헤더를 조작하였으며, 내부(Offset 208)에 PE 헤더(EXE)를 포함하고 있다.


내부에 포함된 파일은 40,960 바이트이며, 실행되면 시스템 폴더에 wversion.exe 파일을 생성한다.
~SDSTY.bat 파일을 통해서 자신은 삭제한다.

win.ini 파일을 변경한다.


Data() Function 날짜

wversion.exe 이 실행되면 다음과 같은 확장자의 파일을 찾아 원래 파일은 파괴하고, 손상전의 원본 파일은 임의의 8자리 암호로 다음과 같은 확장자 중 하나로 압축한다.

".zip"
".zoo"
".arc"
".lzh"
".arj"
".gz"
".tgz"

파일 시작부터 0xA000만큼을 Null(00) 값으로 채워 손상시킨다.
만약, 파일의 크기가 0xA000보다 작은 경우, 파일 전체가 Null 값으로 채워진다.

따라서 일부 파일은 압축 해제 시도시 오류 창이 나타날 수 있다.

- gz
- zip
- pas
- c
- cpp
- java
- jsp
- aspx
- asp
- php
- rar
- gho
- alz
- xml
- pst
- eml
- kwp
- gul
- hna
- hwp
- txt
- rtf
- dbf
- db
- accdb
- pdf
- pptx
- ppt
- mdb
- xlsx
- xls
- wri
- wpx
- wpd
- docm
- docx
- doc






A~ Z 드라이브의 중요 데이터의 파괴 작업이 끝나면 wversion.exe 파일은 배치파일을 통해서 자신을 삭제한다. 더불어 MBR(Master Boot Record) 영역을 'Memory of the Independence Day' 라는 문자열로 덮어 쓰기하여 디스크 파괴작업을 수행한다.


[동작 조건]
- Windows Vista
- 닷넷 프레임워크(.NET Framework)가 설치된 Windows 2000/XP/2003

[관련 소식]
http://viruslab.tistory.com/893

감염 컴퓨터 긴급 사전 응급 처리 방법

10일 0시 이후에 컴퓨터를 켤때는 전원스위치를 누른 후 바로 [F8]키를 연속적으로 계속 눌러 안전모드로 부팅을 하고, 아래와 같은 절차(시스템 날짜 7월 10일 이전으로 변경)를 통해서 시스템 폴더에 존재하는 악성코드를 우선적으로 제거하시기 바랍니다.


3가지 종류의 안전모드 중 인터넷 연결이 가능한 안전 모드(네트워킹 사용) 선택한다.


자신이 사용하는 운영 체제를 선택하고 진행한다. Microsoft Windows XP Professional 을 선택한다.


자신이 사용하고 있는 윈도우 계정(사용자 이름)을 선택한다.


예(Y) 버튼을 누르고 다음 단계로 넘어간다.


악성코드가 2009년 7월 10일 00시 이후부터 파괴 증상을 나타내도록 제작되어 있으므로, 2008년도 정도로 변경하면 안전하다.

시스템 날짜를 실수로 7월 10일 이후로 변경하거나 1분 ~ 10분 이전으로 변경하여 얼마 후 7월 10일이 되도록 만드는 경우 악성코드의 파괴증상이 발생하므로, 반드시 날짜를 7월 10일의 한참 이전으로 변경하는 것이 안전하다.


그런 다음에 시스템폴더 경로에 존재하는 악성코드 파일을 찾아서 우선 삭제한다.

[윈도우XP 기준]
C:\Windows\System32\mstimer.dll
C:\Windows\System32\wversion.exe


우선적으로 2개의 악성코드가 존재한다면 DDoS 공격용 악성코드에 감염된 상태로 볼 수 있으며, 치명적인 파괴 증상이 나타날 수 있는 매우 위험한 조건이라 할 수 있다.

상기 2개의 파일이 존재하지 않는다면 다소 안전한 상태라 할 수 있지만 또 다른 악성코드가 존재할 수도 있으므로, 일부 악성코드 존재 여부를 떠나서 아래의 경로에서 전용백신 프로그램을 다운로드하여 전체 검사를 진행해 보면 최종적으로 DDoS 관련 변종 악성코드 존재 여부를 안전하게 확인할 수 있다.

아래와 같이 전용백신을 통해서 진단/치료도 가능하다.


발견된 악성코드를 전체 치료 후에 재부팅한 후 전용백신을 통해서 다시 한번 검사해 보고 특별한 이상이 없다면 시스템 날짜를 정상적으로 변경하여 사용하면 된다.

또한, 악성코드의 원천적인 방역을 위하여 실시간 감시 기능이 탑재된 Anti-Virus 프로그램 등을 설치하고, 보안패치 등을 생활화 하도록 한다.




Posted by viruslab
TAG mbr