제목 : 윈도우 부팅시 검은 화면에 마우스 커서만 나타나는 악성코드 감염 해결 방법

[복구 방법]

1) 감염된 PC의 하드디스크를 정상적인 PC에 Slave로 장착합니다.
2) 레지스트리 편집기에서 "하이브 로드(L)"를 선택해
Windows\System32\config\software 폴더에 들어갑니다.
3) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS
NT\CurrentVersion\DRIVERS32에서 "MIDI9 = 랜덤값"을
삭제한 후 재부팅합니다.


최근 국내 인터넷 사용자 중에서 특정 악성코드에 감염된 경우 윈도우 재부팅시 정상적인 부팅이 되지 않고 검은 화면에 마우스 커서만 나타나는 현상이 발생하고 있기에 주의가 요구됩니다.

[증상 유발 악성코드 진단명]

안철수연구소(AhnLab) : Win-Trojan/Xema.15872.F // Win-Trojan/Xema.18432.Y
하우리(Hauri) : Trojan.Win32.Delf.15872.O // Trojan.Win32.Delf.18432.AR
알약(ALYac) : V.TRJ.Agent.15872.A // V.TRJ.Agent.18432.B

위의 진단명을 가진 악성코드에 감염이 된 컴퓨터의 경우에는 재부팅 전에 신뢰할 수 있는 보안제품을 이용하여 치료를 하지 않을 경우 재부팅 후에는 수동으로 해당 문제를 해결해야 하므로 다음과 같은 방법을 참고하시기 바랍니다.

• <AhnLab ASEC 대응팀 블로그> 검은 화면에 마우스 커서만 나타나는 경우 (2009.10.15)
• <알약> [보안공지] 윈도우 정상 부팅을 방해하는 악성코드 주의 (2009.10.15)

하우리(Hauri) 업체에서는 해당 악성코드에 대한 전용백신을 제작하여 무료로 제공하고 있으므로 자신의 컴퓨터가 해당 악성코드에 감염된 경우 이용하시기 바랍니다.

• <하우리> [긴급] 부팅 장애가 발생하는 Trojan.Win32.Delf 바이러스 주의! (2009.10.15)

해당 악성코드는 악의적 공격자가 변조한 웹 사이트에 보안 취약점을 가진 컴퓨터 환경이 접속시 감염되는 것으로 보이므로, 반드시 윈도우 보안 업데이트와 각종 유명 응용 프로그램의 최신 업데이트를 확인하시고 적용하시기 바라며, 신뢰할 수 있는 보안제품의 실시간 검사 기능의 활성화와 최신 DB 업데이트를 하시고 인터넷을 사용하시기 바랍니다.

1.  검은 화면에 마우스 커서만 나타나는 경우

 1. 서론
  최근 발견된 악성코드 중 특이한 증상이 발견된 악성코드가 있어 조치가이드를 작성합니다. 해당 악성코드가 감염되면 부팅 시 검은 화면에 마우스만 뜨며, 더 이상 정상모드 또는 안전모드로 부팅이 진행되지 않는 증상이 발생합니다. 해당 악성코드는 내부 모니터링 시스템을 통해 확인한 결과 국내 웹사이트를 통해 유포된 것으로 보입니다.

단, 부팅 불가한 원인은 여러 원인이 있으므로 모든 경우를 이번 악성코드 감염이슈와 연관지을 수 없음을 알려드립니다.


2. 증상 확인
  해당 악성코드에 감염이 되면 아래와 같이 레지스트리에 키값을 작성합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32
"MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터"

 위에 작성한 키값으로 인해 부팅 시 악성코드에 의해 생성된 DLL파일을 로드하게 되는데 이 때 해당 파일이 정상적으로 로딩되지 않아서 발생하는 문제 입니다.

따라서 해당 파일을 삭제하거나 위 레지스트리 값을 삭제할 경우에 정상부팅이 가능합니다.
 

3. 조치 및 예방
  현재 안철수연구소에서는 해당 파일을 수집해서 V3 제품에 아래와 같은 진단명으로 반영되었습니다.
 

Win-Trojan/Xema.15872.F (V3, 진단버전:2009.10.15.00)
Win-Trojan/Xema.18432.Y (V3, 진단버전:2009.10.15.00)

상기 악성코드 자체의 전파기능은 없으며 전파경로는 현재 정확하게 파악하기 힘듭니다.


4. 수동 조치 방법
 이미 감염이 되어 부팅이 안되는 시스템은 아래 안내해 드리는 방법대로 조치하여 주시기 바랍니다.

먼저 문제가 생기는 시스템의 하드디스크를 다른 정상 시스템의 Slave로 붙입니다. 그리고 V3 최신엔진으로 업데이트한 후에 Slave로 붙인 디스크를 수동검사를 통해서 해당 악성코드를 진단 및 삭제하시기 바랍니다.

또는 아래 방법대로 수동으로 조치를 하시기 바랍니다.
 

(1) 정상 시스템에서 레지스트리 편집기(regedit.exe)를 실행한다. 이번 문제는 HKEY_LOCAL_MACHINE이므로 해당 키를 선택한다.

(2) 레지스트리 편집기 -> 파일(F) -> 하이브 로드(L)을 선택하면 하이브 로드할 수 있는 윈도우 창이 뜬다.
 

 
(3) 슬래이브로 붙여진 디스크 경로에서 WINDOWS\system32\config\software를 선택한다.
 

 
(4) 레지스트리 키 이름을 임의로 입력
 

 
(5) 위와 같이 하게 되면 아래 그림처럼 부팅이 안되는 시스템의 레지스트리 정보가 로딩되어 진다
 

 로딩이 되면 아래 레지스트리 값을 삭제한다.
 
HKEY_LOCAL_MACHINE\[위에서 지정한 임의의 이름]\
MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32\
                              "MIDI9 = 생성경로 및 파일명은 랜덤, 0yAAAAAAAA"

 
주의할 것은 다른 정상값들을 삭제하지 않도록 주의해야 한다.
 

(6) 수정이 완료되면, 생성한 키를 선택한후 [파일]-[하이브 언로드]를 클릭하여 해제합니다.

(7) 이제 부팅이 안되었던 컴퓨터에 하드디ㅡ크를 연결 하신 후 V3 제품을 최신버젼으로 업데이트 하신 후 검사 및 치료를 해보시기 바랍니다.

5. 예방 방법
1) V3 제품을 항상 최신 엔진으로 유지 합니다.

2) 사이트가드를 통해 웹페이지에서 유포되는 악성코드를 미연에 차단 합니다.

3) 윈도우 보안 패치를 항상 확인하고 설치 합니다. 아래 업데이트 목록은 해당 악성코드가 삽입된 웹페이지에서 이용한 취약점 리스트 입니다.

MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx

Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx

Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx

Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx

2. [보안공지] 윈도우 정상 부팅을 방해하는 악성코드 주의

안녕하십니까?
이스트소프트 알약 긴급대응팀입니다.

윈도우 정상 부팅을 방해하는 V.TRJ.Agent.15872.A와 V.TRJ.Agent.18432.B가 15일 오전부터 확산되고 있는 상황이므로 사용자들의 주의가 필요합니다.

현재 해당 악성코드에 감염된 PC의 경우 정상적인 윈도우 부팅이 이뤄지지 않은 채 검은 바탕화면과 마우스커서만 나타난채 부팅이 멈춰버리는 현상이 발생하게 되며, 안전모드로도 부팅을 시도해도 부팅이 완료되지 않습니다.

알약에서는 현재 해당 악성코드를 진단하고 제거하고 있으므로 항상 DB를 최신버전으로 유지해주시고, 실시간 감시 기능을 활성화 시켜두셔야 합니다.

[감염 증상]

1) 기존 파일에서 상위 폴더에 랜덤파일.(dat, bak, tmp, old) 확장자의 파일을 생성합니다.
2) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32
"MIDI9 = 랜덤 값"에 DLL 파일을 로드하도록 레지스트리를 추가합니다.
3) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\Windows에 AppInit_DLLs="winmm.dll"와 LoadAppInit_DLLs = 0x1을 생성합니다.
4) 이미 감염된 PC에서는 윈도우 부팅시 검은 화면에 마우스 커서만 나타나고 이후의 부팅 과정이 완료되지 않습니다.

[제거 방법]

현재 알약에서는 해당 악성코드를 V.TRJ.Agent.15872.A와 V.TRJ.Agent.18432.B로 진단하고 있으며, 제거가 가능합니다.
알약을 설치하여 최신DB로 업데이트한 후 수동으로 검사를 실시합니다. 온라인에서 알약 업데이트가 불가능하신 분들은 수동DB업데이트 파일을 다운로드하여 최신DB로 업데이트하시기 바랍니다.

[복구 방법]

1) 감염된 PC의 하드디스크를 정상적인 PC에 Slave로 장착합니다.
2) 레지스트리 편집기에서 "하이브 로드(L)"를 선택해
Windows\System32\config\software 폴더에 들어갑니다.
3) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS
NT\CurrentVersion\DRIVERS32에서 "MIDI9 = 랜덤값"을
삭제한 후 재부팅합니다.

[예방 방법]
1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다