"부팅불가 & 검은화면에 마우스" 악성코드, Bug Fix?

안철수연구소 ASEC대응팀에서는 Active Honeypot 모니터링을 통해서 "부팅불가 & 검은화면에 마우스" 악성코드의 변종이 여러 사이트에서 유포중임을 인지하여 V3 엔진에 반영하였으며 V3로 진단/치료가 가능합니다.

Win-Trojan/Daonol.46080
Win-Trojan/Daonol.71168
Win-Trojan/Kates.71168
Win-Trojan/Kates.49152
Win-Trojan/Daonol.48640

1. 자체 테스트한 결과 이번 변종에서 수정된 사항은 아래와 같다.

(1) 기존의 변종들에 존재하는 버그로 인해서 부팅이 안되던 현상은 이번 변종에서는 해결되어 감염되어도 부팅이 정상적으로 가능하였다.

(2) 기존의 변종들이 실행될때 추가한 레지스트리 값이 이번 변종에서는 시스템에 따라 은폐되어 보이지 않을 수도 있다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
midi9

2. 수동 조치 방법

1) V3 실시간 검사를 일시 중지함.
2) 아래의 툴을 다운로드하여 등록된 레지스트리 키값 "midi9"의 data값 확인.

[IceSword 다운로드] 

* 주의
midi9 키값에 등록된 Data 값에 실제 악성파일 경로와 파일이름이 등록되어 있습니다. 등록되는 파일 이름과 파일이 저장된 경로가 랜덤하므로 아래 "midi9 키값에 등록된 데이터 값 예제 그림파일" 링크를 클릭하셔서 그림 내 빨간 네모 박스 안의 값을 반드시 확인해 주시기 바랍니다.


[삭제할 레지스트리 키값]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\<font color=blue>midi9</font>
  
[midi9 키값에 등록된 데이터 값 예제 그림파일]
 
3) "midi9" 레지스트리 키값을 삭제 후 시스템 재부팅.
4) 재부팅 후 IceSword 툴을 실행하여 아래의 파일을 삭제

[삭제할 파일]
2) 번에서 확인한 midi9키값에 등록된 데이터 값

3. 사용하는 취약점

MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx

Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx

Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx

Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx

Adobe Reader / Acrobat AcroPDF ActiveX Control 취약점

4. 감염시 증상은 아래 URL에 나와 있는 기존 분석정보와 거의 유사하다.

http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28059
http://core.ahnlab.com/58