- 프로그램 설명
알약에서 제공하는 윈도우 부팅 방해 악성코드 전용백신(5/14일 업데이트)입니다.
제작사설명
안녕하십니까?
이스트소프트 알약 보안대응팀입니다.
윈도우 정상 부팅을 방해하는 V.TRJ.Daonol 시리즈 변종이 발생하여 사용자의 주의가 필요합니다.
현재 해당 악성코드에 감염된 PC의 경우 정상적인 윈도우 부팅이 이뤄지지 않은 채 검은 바탕화면과 마우스커서만 나타난채 부팅이 멈춰버리는 현상이 발생하게 되며, 안전모드로도 부팅을 시도해도 부팅이 완료되지 않습니다.
현재까지도 계속적으로 해당 악성코드의 변종이 발견되고 있는 상황이기 때문에 신뢰할 수 없는 웹사이트의 방문(주로 해외 사이트)을 자제하여 주시기 바랍니다.
알약에서는 현재 해당 악성코드를 진단하고 제거하고 있으며 계속적으로 추가되는 해당 악성코드의 변종을 발견하는 대로 긴급 업데이트를 실시하고 있으니, 항상 DB를 최신버전으로 유지해주시고 실시간 감시 기능을 활성화 시켜두셔야 합니다.
[감염 증상]
1) 기존 파일에서 상위 폴더에 랜덤파일.(dat, bak, tmp, old) 확장자의 파일을 생성합니다.
2) HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\MICROSOFT\\\\WINDOWS NT\\\\CurrentVersion\\\\DRIVERS32 \\\"MIDI9 = 랜덤 값\\\"에 DLL 파일을 로드하도록 레지스트리를 추가합니다.
3) HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\MICROSOFT\\\\WINDOWS NT\\\\CurrentVersion\\\\Windows에 AppInit_DLLs=\\\"winmm.dll\\\"와 LoadAppInit_DLLs = 0x1을 생성합니다.
4) 이미 감염된 PC에서는 윈도우 부팅시 검은 화면에 마우스 커서만 나타나고 이후의 부팅 과정이 완료되지 않습니다.
[복구 방법]
1) 감염된 PC의 하드디스크를 정상적인 PC에 Slave로 장착합니다.
2) 레지스트리 편집기에서 하이브 로드(L)를 선택해 Windows\\\\System32\\\\config폴더에 있는 software파일을 선택합니다.
3) 하이브 로드창이 떴을때, 키 이름을 넣는 곳에 아무 숫자나 영문등을 입력합니다.
4) HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\MICROSOFT\\\\WINDOWS NT\\\\CurrentVersion\\\\DRIVERS32에서 MIDI9 = 랜덤값을 삭제한 후 재부팅합니다.
5) 알약을 최신버전으로 업데이트한 후, 수동검사를 통해 감염 하드디스크에 있는 해당 악성코드를 제거합니다.
이 프로그램은 프리웨어입니다.