DDos 감염 PC 하드디스크 데이터 손상 주의
조회수: 5208
2009-07-10
이번 DDoS 공격과 관련하여 감염 시스템에서 생성된 악성코드(Win-Trojan/Destroyer.37264)가 2009년 7월 10일 0시를 기점으로 하드디스크의 데이터를 손상시키는 기능을 갖고 있어 주의를 요합니다.
이 악성코드에 감염되면 PC내 일부 파일이 zip, zoo, arc, lzh, arj, gz, tgz 등의 확장자로 암호화되어 압축 저장됩니다. 또한 A~Z 드라이브의 물리적인 첫 시작 위치부터 ‘Memory of the Independence Day’라는 문자열이 저장돼 있어 정상적인 시스템의 MBR 및 파티션 정보가 손상되는 증상이 발생합니다.
해당 악성코드가 동작이 되는 환경은 Windows Vista 또는 닷넷 프레임워크(.NET Framework)가 설치된 Windows 2000/XP/2003 입니다.
1. 악성코드 감염이 의심되는 경우 감염 예방 방법 안내
- 안전모드에서 날짜 변경하기
1) 랜케이블 제거
(외부 타임서버와 PC시간을 동기화하는 기능이 작동되는 경우가 있으므로 랜케이블을 제거 하고
날짜 변경하시기 바랍니다.)
2) PC를 켜자마자 F8번 키를 눌러 안전모드로 부팅한 후
3) PC의 날짜를 7월10일 이전 날짜로 설정하여 재부팅
4) 안철수연구소에서 제공한 최신엔진과 전용백신으로 진단 및 치료
- Bios에서 날짜 변경하기
1) 랜케이블 제거
(외부 타임서버와 PC시간을 동기화하는 기능이 작동되는 경우가 있으므로 랜케이블을 제거 하고
날짜 변경하시기 바랍니다.)
2) Bios 메뉴에 들어가서 시간변경 메뉴로 들어갑니다.
(Bios마다 차이가 있으나, 부팅 초기에 [Del]키를 누르면 메뉴가 실행됩니다.)
3) PC의 날짜를 7월10일 이전 날짜로 설정한 후 Bios 저장하고 재부팅
4) 안철수연구소에서 제공한 최신엔진과 전용백신으로 진단 및 치료
2. 감염된 PC의 증상 안내
- 감염이 되어 하드디스크의 데이터가 손상된 경우 PC를 켰을 때 부팅이 되지 않습니다.
PC를 켜면 도스화면에서 OS를 찾을 수 없다(Operating system not found)는 메시지가 뜹니다.
이는 감염 시 부팅에 필요한 MBR 영역이 훼손되어 부팅이 되지 않습니다.
- 감염이 되면 하드디스크의 파일이 손상됩니다.
악성코드 감염 시 특정 확장자를 가진 파일들을 gz 형식으로 압축하고 랜던함 패스워드를 적용하는 것처럼
동작합니다. 그러나 실제로 파일이 압축되지 않고 파일이 손상됩니다.
- 하드디스크를 다른 PC에 장착해도 일반적인 방법으로 데이터 복구가 되지 않습니다.
감염 시 MBR이 손상되어서 OS에서 정보를 읽어오지 못하므로 포맷이 되지 않은 하드디스크처럼 인식을 합니다.
* 하드디스크 자체가 손상된 것은 아니므로 포맷을 하면 다시 사용할 수는 있습니다.
- 데이터 복구 프로그램 및 복구 전문업체에서 복구 가능여부는 아직 확인되지 않았습니다.
관련 내용은 추가로 확인되는대로 다시 알려드리도록 하겠습니다.
- 안전모드에서 날짜 변경하기
1) 랜케이블 제거
(외부 타임서버와 PC시간을 동기화하는 기능이 작동되는 경우가 있으므로 랜케이블을 제거 하고
날짜 변경하시기 바랍니다.)
2) PC를 켜자마자 F8번 키를 눌러 안전모드로 부팅한 후
3) PC의 날짜를 7월10일 이전 날짜로 설정하여 재부팅
4) 안철수연구소에서 제공한 최신엔진과 전용백신으로 진단 및 치료
- Bios에서 날짜 변경하기
1) 랜케이블 제거
(외부 타임서버와 PC시간을 동기화하는 기능이 작동되는 경우가 있으므로 랜케이블을 제거 하고
날짜 변경하시기 바랍니다.)
2) Bios 메뉴에 들어가서 시간변경 메뉴로 들어갑니다.
(Bios마다 차이가 있으나, 부팅 초기에 [Del]키를 누르면 메뉴가 실행됩니다.)
3) PC의 날짜를 7월10일 이전 날짜로 설정한 후 Bios 저장하고 재부팅
4) 안철수연구소에서 제공한 최신엔진과 전용백신으로 진단 및 치료
2. 감염된 PC의 증상 안내
- 감염이 되어 하드디스크의 데이터가 손상된 경우 PC를 켰을 때 부팅이 되지 않습니다.
PC를 켜면 도스화면에서 OS를 찾을 수 없다(Operating system not found)는 메시지가 뜹니다.
이는 감염 시 부팅에 필요한 MBR 영역이 훼손되어 부팅이 되지 않습니다.
- 감염이 되면 하드디스크의 파일이 손상됩니다.
악성코드 감염 시 특정 확장자를 가진 파일들을 gz 형식으로 압축하고 랜던함 패스워드를 적용하는 것처럼
동작합니다. 그러나 실제로 파일이 압축되지 않고 파일이 손상됩니다.
- 하드디스크를 다른 PC에 장착해도 일반적인 방법으로 데이터 복구가 되지 않습니다.
감염 시 MBR이 손상되어서 OS에서 정보를 읽어오지 못하므로 포맷이 되지 않은 하드디스크처럼 인식을 합니다.
* 하드디스크 자체가 손상된 것은 아니므로 포맷을 하면 다시 사용할 수는 있습니다.
- 데이터 복구 프로그램 및 복구 전문업체에서 복구 가능여부는 아직 확인되지 않았습니다.
관련 내용은 추가로 확인되는대로 다시 알려드리도록 하겠습니다.
제공해 드리는 전용백신 및 V3 365 클리닉, V3 Internet Security 2007/7.0/8.0, V3 Lite 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료하실 수 있습니다.
 전용백신 다운로드[개인 고객용 제품] V3 365 클리닉 바로 가기 V3 Lite 바로 가기 |
DDoS 악성코드 실시간 차단 프로그램 [기업 고객용 제품] V3 IS 8.0 평가판 다운로드 V3 MSS 평가판 다운로드
|