웹&컴퓨팅

DDoS 공격 악성코드 좀비 PC 하드디스크 데이터 손상 주의 공지 [안철수연구소/알약]

x2chi 2009. 7. 11. 05:37
반응형

 

개인적으로 큰 국가적 피해가 없는한에서 빨리 끝났으면한다...

그런데 정말 중요한 시기에 탈만안나면 적절하게 일어 났다...

아니 좀더 일찍일어 났으면 좋으려나? 아님 일찍 일어나면 데이터의 소중함도 못느끼려나?

여튼 전산화된 시스템으로 이젠 모든회사가 돌아가고 거기에 맞춰 공부해오고 일해온 사람들한테....

뭐 그로 인해 다른뉴스들이 묻히는현상도 고의적인지 비고의적인지 알수 없지만...

북한이 했다고 하지만,,,,데이터손상에 대해서는 진짜라도 갠찮겠지만...그래야 좀더 절실히 느끼지...

국내뿐아니라 세계적으로 ,,,특히 아시아....중에서 한국....정보통신 보급율은 정말...

유선 무선 할것없이 정말 대단할정도로 보급되어있지만 그걸 안전하게 사용할정신상태가 안되있다.

이미 우리 생활 깊숙히 들어와있는 정보통신...

인터넷 생활속에 자신의 중요한 위험할정도로 중요한 정보조차도 관리하지 못하는 현실에서

좀 느꼈으면한다....

 

그리고 MS가 아니면 안되는 현실도 한탄해야 하지만......

오픈웹(http://openweb.or.kr/)이 압장서서 표준화 ,일반화된 정보 시스템으로 만들어가기위해 앞장서고 있지만.

미약하다...

개발자들부터도 대부분의 한국사회가 MS 위도우즈에 IE 사용자란기준으로 개발되는현실도 이젠 벗어냐야 되는뎅,,

마이프로소프트가 어느날 미친다면 그땐 DDOS 정도는 아무일도 아닌데,......

 

지금은 무료 백신이 정말 잘되있는 편이다. 실시간 감시 까지도...

오픈된 정보와 안전한 정보 두가지는 서로 반대로 달리지만 지킬건 점점 많아 지고 공유되어야 할것도 많아진다..

잘 판단하고 지킬것은 확실히 지킬수 있는 보안의식을 가진 IT 대한민국이 되었으면 좋겠다...

 


아래는 안철수 연구소와 이스트소프트 알약에서 올린 공지 이다.

개인적이긴 하나 이스트소프트 알약과 안철수연구소  V3를 추천한다.

이왕이면 국산엔진 무료백신인  V3 라이트를 추천한다.

더 잘 만들라고 유료로 써주는 센스도 좋고......해봐야 술한잔 할돈이면 1년은 쓸꺼다...(1개사면 3대까지 깔수 잇따요)

 안철수 연구소 공지

DDoS 감염 PC 하드디스크 데이터 손상 주의
이번 DDoS 공격과 관련하여 감염 시스템에서 생성된 악성코드(Win-Trojan/Destroyer.37264)가 2009년 7월10일 0시를 기점으로 하드디스크의 데이터를 손상하는 기능을 갖고 있어 주의를 요합니다.

이 악성코드에 감염되면 PC내 일부 파일이 zip, zoo, arc, lzh, arj, gz, tgz 등의 확장자로 암호화되어 압축 저장됩니다. 또한 A~Z 드라이브의 물리적인 첫 시작 위치부터 ‘Memory of the Independence Day’라는 문자열이 저장돼 있어 정상적인 시스템의 MBR 및 파티션 정보가 손상되는 증상이 발생합니다.

해당 악성코드가 동작이 되는 환경은 Windows Vista 또는 닷넷 프레임워크(.NET Framework)가 설치된 Windows 2000/XP/2003 입니다.

악성코드 감염이 의심되는 경우 감염 예방을 위해 아래와 같은 조치를 취해 주시기 바랍니다.

1. 안전모드에서 날짜 변경하기
1) 랜케이블 제거
2) PC를 켜자마자 F8번 키를 눌러 안전모드로 부팅한 후
3) PC의 날짜를 7월10일 이전 날짜로 설정하여 재부팅
4) 안철수연구소에서 제공한 최신엔진과 전용백신으로 진단 및 치료

2. Bios에서 날짜 변경하기
1) 랜케이블 제거
2) Bios 메뉴에 들어가서 시간변경 메뉴로 들어갑니다. (Bios마다 차이가 있으나, 부팅 초기에 [Del]키를 누릅니다.)
3) PC의 날짜를 7월10일 이전 날짜로 설정한 후 Bios 저장하고 재부팅
4) 안철수연구소에서 제공한 최신엔진과 전용백신으로 진단 및 치료

또한 V3 365 클리닉, V3 Internet Security 2007/7.0/8.0, V3 Lite 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료하실 수 있습니다.



 

알약공지

 안녕하세요?

이스트소프트 긴급대응팀입니다.

이번 1~3차 DDoS 공격에 사용된 감염 숙주 PC에서

하드디스크와 데이터를 파괴해 정상적으로 부팅할 수 없는 사례가

발견되어 PC 사용자들의 주의가 필요한 상황입니다.


DDoS 공격에 사용되어진 악성코드는 특정 확장자로된 파일을

임의의 압축 파일 형식으로 바꾸어 암호가 설정되 압축 해제가

불가능한 특징을 가지고 있으며, 하드디스크의 부팅에 관여하는 MBR

(Master Boot Record)를 "Memory of the Independence Day"

문자로 덮어쓰기를 해 정상적인 윈도의 부팅을 할 수 없도록 만듭니다.


현재 악성코드는 Windows 2000/XP/2003/Vista OS에서

.net Framework가 설치된 경우 활동을 개시하도록 제작되었습니다.


이미 알약과 V.TRJ.DDoS.Agent 전용백신을 사용 중인 PC에서는

알약이 하드디스크를 손상시키는 악성코드를 치료할 수 있습니다.


※ 아래의 임시 조치 방법은 알약 혹은 전용 백신을 사용하지 않는
PC 사용자의 경우에 해당됩니다.



[정상적인 윈도우 부팅이 안되는 PC의 경우]

악성코드로 인해 이미 시스템의 MBR이 손상되었으며, 특정 확장자
파일이 임의의 압축 파일 형식으로 변환되었을 가능성이 매우 높습니다.
복구 방법은 현재 확인중에 있습니다.


[10일 0시 이전에 컴퓨터 전원을 끈이후 현재까지 PC를 안 켠 경우]

1. 10일 0시 이전에 시스템 종료를 한 후 아직 PC를 켜지 않은 경우에는
하드디스크 MBR 손상과 특정 확장자 파일의 압축 파일로 변환이 안되었을 가능성이 큽니다.
즉, 아직 시스템이 손상되지 않은 상태입니다.

2. 컴퓨터 부팅화면 초기에 F8 버튼을 눌러 "안전모드"로 부팅하고 컴퓨터 시간을 "7월 10일" 이전으로 충분한 날짜를 설정합니다. 예) 3월 3일


3. 알약 혹은 알약전용백신으로 PC를 검사하여 DDoS 관련 악성코드에 PC가 감염되었는지 여부를 확인합니다.


[수동파일삭제, Windows XP 경우]
C:\Windows\System32\mstimer.dll
C:\Windows\System32\wversion.exe


4. 악성코드를 치료하였거나 문제가 없다면 재부팅한 후, 다시 한번 알약의 정밀검사를 수행한 뒤에 시스템 날짜를 원래대로 변경하시면 됩니다.



[10일 이전에 PC를 켜둔 상태로 아직 PC를 종료하지 않은 경우]

1. 절대로 PC의 전원을 종료하지 마시기 바랍니다.

2. 알약 전용백신을 다운로드 하거나 알약을 설치하여 정밀검사를 실시하여 DDoS 악성코드를 치료합니다.

3. 10일 이전에 PC를 켜두었으며, 10일 0시가 지난 지금까지 아직 PC를 종료하지 않은 상태에서 DDoS 악성코드에 감염되었다면 PC는 동작하고 있지만 하드디스크내 데이터가 암호화 압축되고 원본 데이터가 삭제되는 현상이 발생하고, 시스템 MBR이 손상되었을 가능성이 큽니다.

4. 시스템 MBR이 손상된 경우 시스템 복구가 어렵습니다. 먼저 데이타 복구툴을 이용해 삭제된 원본 데이터를 복구하시기를 권장합니다. 아래의 제품들을 활용하시어 데이터 복구 작업에 도움이 되시길 바랍니다.

- Restoration
- Portable DataRecovery

이번 사건과 같은 DDoS의 주범인 좀비 PC를 없애기 위해서는 보안패치를 적용을 생활화하고 백신을 설치하여 자동 업데이트와 실시감 감시를 켜 놓는 것이 중요하며 주기적인 검사 실행으로 숨어있는 악성파일까지 차단, 치료해야 합니다.


반응형