2020-05-27 05:05 (수)
치료 까다로운 MBR 변조 악성파일 주의!
상태바
치료 까다로운 MBR 변조 악성파일 주의!
  • 길민권
  • 승인 2011.09.19 17:28
이 기사를 공유합니다

감염되면 백신통해 치료해도 재부팅되면 다시 감염된다
최근 온라인 게임 계정정보 탈취를 목적으로 하는 악성파일이 웹 하드 사이트 등을 중심으로 지속적인 유포가 이루어지고 있는 가운데 MBR(Master Boot Record)을 변조하여 지속적인 감염을 유발하는 변종이 출현해 사용자들의 각별한 주의가 요망되고 있다.
 
해당 악성파일은 감염 후 백신 등을 통해 치료를 진행하여도 재부팅되면 지속적으로 재감염되는 감염증상을 가지고 있어 안전한 PC사용을 위해서는 백신의 실시간 감시 기능 등으로 사전 예방 대책을 마련하는 것이 무엇보다 중요하다고 할 수 있다.
 
◇유포 경로 및 감염 증상=해당 악성파일은 기존의 "특정 온라인 게임 계정정보 탈취"용 악성파일과 같이 각종 웹 하드 사이트 등을 통해 유포될 수 있으며, 이메일의 첨부파일 형태나 SNS 및 메신저 등을 통해서도 유포될 수 있다.
 
해당 악성파일은 imm32.dll, lpk.dll 파일과 같은 정상파일을 Patched 형태로 감염 시키는 증상을 보이는 등 기존의 "특정 온라인 게임 계정정보 탈취"용 악성파일과 동일한 감염증상을 보이고 있다. 다만, MBR을 변조하여 지속적인 재감염 증상을 유발하는 것이 핵심이자 차이점이라 할 수 있다.
 
<변조되기 전 MBR>
 
 
<변조된 MBR>

 
위 그림은 MBR의 변조 전과 변조 후의 상태를 보여주고 있다. 위 그림과 같이 MBR이 변조되면 게임 계정 정보를 탈취하는 악성파일이 치료된다고 해도 재부팅될 시 지속적인 재감염 증상을 나타낼 수 있다.
 
재감염 유발 코드가 포함된 MBR 은 아래의 그림을 통해 확인이 가능하다.
 
<재감염 코드가 포함된 변조된 MBR>
 
 
또한, 감염되면 아래와 같은 추가적인 악성파일들이 생성 및 다운로드 될 수 있다.
 
<생성 파일>
- C:Windowslpk.dll
- C:Windowssystem32DiskSystem.exe
- C:Windowssystem32halc.dll
- C:Windowssystem32imm32.dll
- C:Windowssystem32ws2sock.dll
- C:Windowssystem32dnetcom.dll
- C:Windowssystem32FileEngine.sys
 
위와 같이 추가적으로 생성된 악성파일까지 감염이 완료되면 lpk.dll 파일 등과 같이 정상파일에 대한 Patched 형태의 악성파일을 통해 온라인 게임 계정정보가 탈취될 수 있으며, FileEngine.sys파일에 의해 특정 백신에 대한 프로세스 실행 감시 기능 등이 동작될 수 있다.
 
◇예방 조치 방법=위와 같은 악성파일은 감염될 경우 MBR을 변조시키기 때문에 백신에 의한 완전한 치료가 어려울 수 있다. 이 경우 MBR에 대한 복원 작업이 선행되어야 하므로 아래의 방법을 통해 MBR을 복원 후 백신에 의한 치료를 진행할 수 있도록 하자. 
 
1. 우선 가지고 있는 "윈도우 설치 CD"를 사용하여 아래의 그림과 같이 진행 후 키보드에서 "R" 키를 입력하여 복구 콘솔을 실행한다.
 
 

2. 아래의 그림과 같이 "로그온할 Windows 설치를 선택하십시오." 메시지가 출력되면 키보드에서 숫자 "1"키를 누른 후 계정 암호 입력창이 출력되면 암호 입력 후 Enter키를 누른다. 그 후 "C:WINDOWS>_" 와 같이 프롬프트가 활성화 되면 "fixmbr" 명령어를 입력 후 Enter키를 누른다. 아래의 그림과 같은 "주의" 메시지가 출력된 후 MBR 생성 여부를 묻는 메시지가 출력되면 키보드에서 "Y"키를 입력한다.


 
3. 위와 같이 ①, ② 번 항목을 수행하면 MBR에 대한 복구가 완료되며, 백신을 통해 나머지 악성파일들에 대한 치료를 완료 할 수 있도록 한다.
 
일반 사용자의 경우 위와 같은 악성파일에 의해 MBR 영역이 변조 되더라도 MBR 변조 여부에 대해 인지하기가 쉽지 않으며, 일반적인 방법으로 치료가 어려울 수 있다. 때문에 아래와 같은 "보안 관리 수칙"을 준수하는 등 사전 예방 대책을 마련하는 것이 해당 악성파일로 부터 안전한 PC사용을 위한 최선의 방법이라고 할 수 있다.
 
<보안 관리 수칙>
1. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
2. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.
3. 메신저, SNS 등을 통한 링크 접속을 주의한다.
4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.
5. 정보에 대한 출처가 불분명한 SNS 혹은 메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.
 
잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다. [잉카인터넷 시큐리티대응센터 대응팀]