최근(10월 15일 이후) 발견된 악성코드 중 특이한 증상이 발견된 악성코드가 있어 조치 가이드를 작성합니다. 해당 악성코드가 감염되면 부팅 시 검은 화면에 마우스만 뜨며, 더 이상 정상모드 또는 안전모드로 부팅이 진행되지 않는 증상이 발생합니다. 해당 악성코드는 내부 모니터링 시스템을 통해 확인한 결과 국내/외 보안이 취약한 웹사이트를 통해 유포된 것으로 보입니다.

  또한 11월 이후부터는 V3 제품의 스마트 업데이트 동작을 방해하거나 그 외 응용 프로그램의 동작을 방해하는 등 Daonol 변형이 지속적으로 보고되고 있어 사용자의 주의가 필요합니다.

  단, 부팅 불가한 원인은 여러 원인이 있으므로 모든 경우를 Daonol 악성코드 감염 이슈와 연관지을 수 없음을 알려드립니다.

1. 증상 확인

  해당 악성코드에 감염이 되면 아래와 같이 레지스트리에 키값을 작성합니다.

  HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32

  "MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터"

  위에 작성한 키값으로 인해 부팅 시 악성코드에 의해 생성된 DLL파일을 로드하게 되는데 이 때 해당 파일이 정상적으로 로딩되지 않아서 발생하는 문제입니다. 따라서 해당 파일을 삭제하거나 위 레지스트리 값을 삭제할 경우에 정상 부팅이 가능합니다.

2. 조치 방법

  - 증상이 나타난 PC나 부팅은 가능하지만 응용 프로그램 실행이 정상적으로 진행되지 않으시는 분께서는

   아래 전용백신을 다운로드 받아 사용해 보시기 바랍니다.

    Win-Trojan/Daonol.Gen 바로가기 (최신 버전 : 12월8일자)

  - 이미 감염이 되어 부팅이 안되는 시스템은 아래 안내해 드리는 방법대로 조치하여 주시기 바랍니다.

  1) 먼저 문제가 생기는 시스템의 하드디스크를 다른 정상 PC 시스템의 Slave로 붙입니다.

      그리고 V3 최신엔진으로 업데이트한 후에 Slave로 붙인 디스크를

      수동 검사를 통해서 해당 악성코드를 진단 및 삭제하시기 바랍니다.

  2) 아래의 자세한 링크 내용을 확인하여 수동 조치를 하시기 바랍니다.

      http://core.ahnlab.com/58의 4번,

      http://core.ahnlab.com/78 내용을 확인합니다.

3. 예방 방법

  1) V3 제품을 항상 최신 엔진으로 유지합니다.

  2) 사이트가드를 통해 웹페이지에서 유포되는 악성코드를 미연에 차단합니다.

  3) 최신 윈도우 보안 패치를 항상 확인하고 설치합니다.

     아래 업데이트 목록은 해당 악성코드가 삽입된 웹페이지에서 이용한 취약점 리스트 입니다.

     - MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)

     - Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)      

     - Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)     

     - Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)

     - Adobe Reader / Acrobat AcroPDF ActiveX Control 취약점

※ 현재 변종 악성코드가 지속적으로 발견되고 있습니다.

    V3 엔진에 추가되고 있으며 이 점 인지하여 사용 부탁드립니다.

※ 자세한 내용은

    http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28059,

    http://core.ahnlab.com/58

    http://core.ahnlab.com/78

    를 참고하시기 바랍니다.