- 프로그램 설명
알약에서 제공하는 윈도우 부팅 방해 악성코드 전용백신입니다.
제작사설명
이스트소프트 알약 긴급대응팀입니다.
윈도우 정상 부팅을 방해하는 V.DRP.Daonol.15872와 V.TRJ.Daonol.18432가 15일 오전부터 확산되고 있는 상황이므로 사용자들의 주의가 필요합니다. (기존 V.TRJ.Agent.15872.A/18432.B의 탐지명 카테고리를 22일부터 위와 같이 변경하였습니다.)
현재 해당 악성코드에 감염된 PC의 경우 정상적인 윈도우 부팅이 이뤄지지 않은 채 검은 바탕화면과 마우스커서만 나타난채 부팅이 멈춰버리는 현상이 발생하게 되며, 안전모드로도 부팅을 시도해도 부팅이 완료되지 않습니다.
22일 현재까지도 계속적으로 해당 악성코드의 변종이 발견되고 있는 상황이기 때문에 신뢰할 수 없는 웹사이트의 방문(주로 해외 사이트)을 자제하여 주시기 바랍니다.
알약에서는 현재 해당 악성코드를 진단하고 제거하고 있으며 계속적으로 추가되는 해당 악성코드의 변종을 발견하는 대로 긴급 업데이트를 실시하고 있으니, 항상 DB를 최신버전으로 유지해주시고 실시간 감시 기능을 활성화 시켜두셔야 합니다.
[감염 증상]
1) 기존 파일에서 상위 폴더에 랜덤파일.(dat, bak, tmp, old) 확장자의 파일을 생성합니다.
2) HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCurrentVersionDRIVERS32 MIDI9 = 랜덤 값에 DLL 파일을 로드하도록 레지스트리를 추가합니다.
3) HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCurrentVersionWindows에 AppInit_DLLs=\"winmm.dll\"와 LoadAppInit_DLLs = 0x1을 생성합니다.
4) 이미 감염된 PC에서는 윈도우 부팅시 검은 화면에 마우스 커서만 나타나고 이후의 부팅 과정이 완료되지 않습니다.
[제거 방법]
현재 알약에서는 해당 악성코드를 V.TRJ.Agent.15872.A와 V.TRJ.Agent.18432.B로 진단하고 있으며, 제거가 가능합니다.
**22일 이후부터는 탐지명 카테고리를 변경하여, V.DRP.Daonol.15872와 V.TRJ.Daonol.18432로 탐지합니다.
알약을 설치하여 최신DB로 업데이트한 후 수동으로 검사를 실시합니다. 온라인에서 알약 업데이트가 불가능하신 분들은 수동DB업데이트 파일을 다운로드하여 최신DB로 업데이트하시기 바랍니다.
[복구 방법]
1) 감염된 PC의 하드디스크를 정상적인 PC에 Slave로 장착합니다.
2) 레지스트리 편집기에서 하이브 로드(L)를 선택해 WindowsSystem32config폴더에 있는 software파일을 선택합니다.
3) 하이브 로드창이 떴을때, 키 이름을 넣는 곳에 아무 숫자나 영문등을 입력합니다.
4) HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCurrentVersionDRIVERS32에서 MIDI9 = 랜덤값을 삭제한 후 재부팅합니다.
5) 알약을 최신버전으로 업데이트한 후, 수동검사를 통해 감염 하드디스크에 있는 해당 악성코드를 제거합니다.
[예방 방법]
1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.
이 프로그램은 프리웨어입니다.
