본문 바로가기
악성코드 정보

MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견

by 알 수 없는 사용자 2011. 9. 16.
1. 서론
 최근 국내에 MBR (Master Boot Record) 을 감염시키는 악성코드가 발견되어 해당 글을 작성합니다.


2. 악성코드 분석
 해당 악성코드에 감염되게 되면 아래와 같이 MBR (Master Boot Record) 이 변조되게 됩니다. 이로 인해 변조된 MBR 복구해주지 않으면 시스템이 재부팅 될때마다 악성코드가 계속해서 재감염 됩니다.

[그림 1] 변경되기 전 MBR (Master Boot Record)



[그림 2] 변경 된 후 MBR (Master Boot Record)



추가로 악성코드가 MBR을 변조할 때 원본을 다른 섹터 영역에 암호화 하여 백업을 해둡니다. 따라서 수동으로 복원할 경우 암호화 된 백업본을 복호화 하여 복원을 하면 되나 이는 일반 사용자가 하기에는 무리가 있습니다.



3. 감염 시 나타나는 증상
 해당 악성코드는 온라인 게임계정을 탈취하는 악성코드로 감염 시 아래와 같은 증상이 발생하게 됩니다.

1) AV 실행 불가 및 실행 시 엑세스 거부 메시지가 발생
주로 V3 제품 및 기타 AV 제품이 정상적으로 동작하지 않거나 실행 시 아래와 같이 권한 관련 오류 메세지가 발생합니다.

[그림 4] 국내 AV 실행 시 나타나는 오류창


2) 악성코드 재감염 증상
C:\Windows\lpk.dll 파일이 계속해서 재감염 되는 증상이 발생합니다. 이는 MBR에 감염된 악성코드로 인해 계속해서 악성코드가 생성되기 때문에 나타나는 증상입니다. 따라서 위와 같은 경로의 악성코드가 계속해서 재감염 되는 증상이 발생하면 아래 조치방법으로 조치를 해보시기 바랍니다.



4. 조치 방법
 해당 악성코드는 MBR 영역을 치료하여야 하므로 전용백신으로 조치를 하여야 합니다. 아래 안내해 드리는 주소에서 전용백신을 다운로드 후 검사 및 치료를 진행해 주시기 바랍니다.

[그림 5] MBR 치료 전용백신 실행 화면


추가로 수동으로 복구하는 방법을 안내해 드리나 이는 OS를 멀티부팅 환경으로 설정한 사용자나 시스템 복구 영역이 존재하는 시스템에서는 사용을 권장하지 않습니다.


[MBR 영역 복구 방법]
1) 먼저 Windows XP 설치 시디가 필요합니다. 설치 시디를 넣은 후 재부팅을 합니다.

2) 아래와 같은 화면이 나타나면 'R' 키를 눌러 복구메뉴로 들어갑니다.



3) 복구모드로 들어가면 아래와 같이 키보드를 선택하는 창이 나타납니다. 사용하시는 키보드를 선택하시면 되며 사용하시는 키보드가 무엇인지 모르는 경우 첫번째 키보드 선택 후 엔터키를 누르시기 바랍니다.



4) 키보드 선택 후 복구 콘솔에서 '로그온할 Windows 설치를 선택하십시오.' 라는 메시지나 나오면 '1' 을 누른 후 엔터키를 누릅니다. 그리고 Administrator 암호를 입력하면 명령프롬프트가 나타납니다. 이때 'fixmbr' 이라고 입력 후 엔터를 누르면 아래와 같이 MBR을 복구할 수 있는 메세지가 나옵니다. 메세지 확인 후 'Y'를 누르면 복구가 완료 됩니다.





위에 안내해 드린 방법대로 MBR 영역을 복구하고 나면 http://core.ahnlab.com/18 페이지를 참고하시어 아래 파일들을 삭제를 권장 드립니다.

C:\Windows\lpk.dll
C:\Windows\System32\ws2sock.dll (또는 imm32.dll)
C:\Windows\System32\halc.dll
C:\Windows\System32\Disksystem.exe
C:\Windows\System32\
drivers\FileEngine.sys


끝으로 V3 제품 엔진을 최신버전으로 업데이트 후 전체 시스템을 검사를 권장 드립니다.

댓글