얼마전에 윈도우 포럼에 올라왔는데 별로 중요하게 생각하지 않고 넘어갔더니 오늘 파코즈에도 올라왔고 분위기를 보니 의외로 걸리신 분들이 많이 계신 것 같아서 포스팅합니다. 물론 뎁버그님 말씀대로 평소에 보안업데이트를 꾸준히 해주고 백신을 사용하시면 아마 걸릴 일은 없을 것입니다. 물론 저같은 경우 이렇게 되면 그냥 VHD 파일 교체해버리면 그만이지만 ^^;; 그리고 고스트나 트루이미지 사용하시는 분들 역시 그냥 복구해버리면 그만이겠죠. 그렇다 하더라도 예방할 수 있을 때 예방하시는게 좋겠습니다.

 

일단 이 악성코드에 걸렸을 경우 해결방법은 정상적인 시스템으로 부팅한 다음

 

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32

"MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터"

 

부분을 삭제해주시면 된다고 합니다. 일단 위 레지스트리 값을 삭제한 다음 다시 부팅하면 이번엔 부팅이 되는데 부팅후 V3나 알약같은 백신들로 치료해주면 된다고 합니다. 위 레지스트리는 자동으로 감염된 DLL 파일을 부팅시 로딩하도록 하는 레지스트리라고 하네요.

 

안철수 연구소 ASEC 대응팀에서는 정상적인 시스템에 하드를 연결해서 삭제하라고 나와있지만 (http://core.ahnlab.com/58) 집에 데스크탑이 1대밖에 없거나 노트북 쓰는 사람들에겐 현실적이지 못한 대응책이죠. 그러지 말고 저는 비스타나 윈도우 7 DVD로 부팅하거나 또는 F8 복구모드에서 명령 프롬프트를 띄우거나 또는 각종 PE로 부팅해서 작업하시는 것을 추천드립니다.

 

윈도우 7 DVD로 하는 방법을 예제로 들어보겠습니다.

우선 윈도우 7 DVD로 부팅한 다음 첫 화면에서 Shift + F10을 누릅니다. 그럼 명령 프롬프트가 뜹니다.

 

 

 

여기서 딱 3줄만 입력해주시면 되는데 이게 좀 길어서 어려울 수도 있겠습니다. 종이에 적어두시든지 디카로 찍어두시든지 이 부분만 프린트해서 보고 하시든지 ^^;;

 

Reg Load HKU\Temp C:\Windows\System32\Config\Software

 

Reg Delete "HKU\Temp\Microsoft\Windows NT\CurrentVersion\Drivers32" /v MIDI9 /f

 

Reg Unload HKU\Temp

 

 

여기서 주의하실 부분은 첫번째 줄에 있는 감염된 윈도우즈 경로밖에 없습니다. 보통은 C 드라이브에 윈도우즈가 설치되어 있겠지만 그게 PE로 부팅했을 때는 D 드라이브가 될 수도 있습니다. 윈도우 7의 경우 시스템 예약 파티션이 100mb 잡혀있다면 위 상황에서 윈도우즈는 D 드라이브로 인식됩니다. 이 점을 참고하여 첫번째 줄에 C 드라이브 부분만 확실하게 정해주세요. 나머지 부분은 똑같이 입력하시면 됩니다.

 

너무 어렵게 설명드린 것 같은데 이상하게 윈도우 7 DVD로 부팅했을 때 레지스트리 편집기를 띄워도 메뉴에선 하이브 로드가 안 되더군요. 그래서 어쩔 수 없이 커맨드로 설명드렸습니다. ㅠㅠ

 

 

 

 

이 방법이 너무 어려우시면 그냥 하드 떼서 다른 컴퓨터에 들고 가서 안철수 연구소 ASEC 대응팀에서 제시한 방법대로 하세요. ㅠㅠ (http://core.ahnlab.com/58)

 

 

 

(추가)

파코즈 댓글을 보니 좀 쉬운 방법도 있는 것 같습니다.

검은 바탕화면에서 Ctrl + Shift + Esc 누르시거나 또는 Ctrl + Alt + Delete 눌러서 작업관리자 띄우실 수 있으실텐데 거기서 Explorer.exe를 강제종료 시킨 다음 메뉴에서 파일 - 새 작업 에다가 다시 Explorer.exe 를 입력해서 실행시켜주시면 바탕화면 진입이 된다고 합니다. 그상태로 백신 설치하고 검사를 해보세요. 저는 감염되어보지 않아서 이렇게 설명하면 맞는건지는 잘 모르겠네요.