하드디스크 파괴 악성코드 상세분석결과 중간 발표

- 파일 삭제, 하드디스크 파괴, 하드디스크 파괴 기능의 MBR 삽입 등이 주요특징 

- 3.20 사이버 테러 악성코드와 기능상 다양한 차이점 존재 

- V3 제품군(기업용 V3 IS(Internet Security) 계열과 개인용 무료백신 V3 Lite(2013.6 출시 버전))으로 진단/치료 가능

 

정보보안 기업 안랩[대표 김홍선 www.ahnlab.com]은 지난 25일 일부 정부기관에 대한 디도스[DDoS: Distributed Denial of Service, 분산 서비스 거부] 공격 관련 [26일 새벽 02시 20분경 발표한]보도자료에서 언급한 하드디스크 파괴기능을 가진 악성코드의 상세분석결과를 28일 중간발표했다.

 

이번 악성코드의 특징은 감염 후 1. 파일 삭제, 2. 사용자 PC 재부팅 시 하드디스크 파괴[MBR 삭제, 데이터 영역 삭제], 3. 하드디스크 파괴 기능의 MBR[Master Boot Record] 직접 삽입이다.

 

특히 PC를 켜는데[PC 부팅] 필요한 정보들이 저장된 영역인 MBR에 하드디스크를 파괴하는 코드가 삽입되어있어 백신 제품의 치료를 어렵게 한다.

* MBR 기능: MBR은 부팅에 필요한 정보가 저장된 영역이다. PC에 전원이 들어오면 메모리가MBR에 있는 정보를 읽어서 운영체제[OS:Operating System]를 작동시킨다.

 

또한 파일 삭제나 하드디스크 파괴를 수행하는 과정 중에 시스템 크래쉬[System Crash] 등 여러가지 이유로 BSOD[Blue Screen Of Death]현상이 나타나거나 재부팅하더라도 파괴 기능이 지속된다.

* 시스템 크래쉬[System Crash]: 시스템 충돌. BSOD[Blue Screen Of Death], 재부팅 등 컴퓨터 장애의 원인 중 하나

* BSOD[Blue Screen Of Death] : 작동오류로 블루스크린이 나타나는 현상

 

특히 안랩은 이번 공격에 사용된 악성코드는 2013.3.20 사이버 테러와는 차이를 보인다고 밝혔다.

 

안랩 관계자는 "감염 후 1. 파일을 삭제하고, 2. 하드디스크 파괴 기능이 MBR[Master Boot Record] 삽입되어 있으며, 3. 데이터 영역 삭제 시에 특정 문자열[PRINCPES같은]이 아닌 랜덤 문자열로 덮어쓰기를 시도하고 ,감염 즉시 데이터 영역을 삭제하지 않고 재부팅 시 삭제하는 점 등은 2013.3.20 사이버 테러에는 없던 증상"이라며 "이밖에 패스워드 변경 및 바탕화면 변경도 이전에는 없던 점"이라고 전했다.

 

해당 악성코드는 V3제품군[기업용 V3 IS[Internet Security] 계열과 개인용 무료백신 V3 Lite[2013.6 출시 버전]으로 진단치료할 수 있으며, 볼륨보호 기능이 있어 MBR 파괴를 막을 수 있다.

 

안랩 관계자는 "현재까지 분석결과 악성코드가 기업, 기관 등 서버 관리자를 타킷으로 한 것으로 보이나 내부 테스트결과 개인PC에서도 작동한다."며 주의를 당부했다.

 

안랩은 하드디스크파괴 악성코드 분석결과를 한국인터넷진흥원[KISA] 등 유관기관에 공유했다.

<3.20 사이버 테러와의 차이>