2013년 3월 20일 오후 2시부터 방송사(KBS, MBC, YTN), 금융사(신한은행, 농협, 제주은행)에 대한 동시다발적 사이버 공격으로 인해 내부 전산망 마비 및 개인 PC가 부팅이 되지 않는 문제가 발생하였다는 소식이 있습니다.
▷ <서울신문> 주요 방송사·은행 전산망 초토화 (2013.3.20)
▷ <nProtect 대응팀 공식 블로그> [긴급대응]언론사 방송국, 금융사이트 부팅 불가 사고 발생 중 (실시간 업데이트 중) (2013.3.20)
현재 악성코드 분석을 진행하고 있는 보안 업체를 통해 공개되고 있는 정보를 종합해보면 다음과 같습니다.
1. 감염된 운영 체제(OS)별 증상
(1) Windows XP, Windows 2003 Server : 물리적 디스크(Physical Disk)의 MBR(Master Boot Record)와 VBR(Volume Boot Record) 등의 영역에 쓰레기 데이터(PRINCPES, HASTATI, PR!NCPES)를 채우는 방식으로 변조 및 논리 드라이브 파괴
(2) Window Vista, Windows 7 : 물리적 디스크(Physical Disk) 파괴 및 모든 논리 드라이브 내의 파일 내용 삭제
위와 같은 악의적 행위를 통해 감염된 시스템에서는 부팅 불가 현상과 MBR 수정을 하여도 정상적으로 동작하지 않는 문제가 발생하게 됩니다.
2. 스케줄(Schedule) 기능
감염된 환경에서는 2013년 3월 20일 오후 2시에 동작이 이루어지도록 사전에 예약된 코드가 존재합니다.
3. 업체별 진단명 정보
(1) 안랩(AhnLab) : Dropper/Agent.429808, TextImage/Shellcode, Win-Spyware/PWS.WOW.100864, Win-Trojan/Agent, Win-Trojan/Agent.10576.C, Win-Trojan/Keylogger.286816, Win-Trojan/Keylogger.41472.K, Win-Trojan/Keylogger.8192
(2) 하우리(Hauri) : apcRunCmd.exe (Trojan.Win32.U.KillMBR.24576), othdown.exe (Trojan.Win32.U.KillMBR.24576.A)
(3) nProtect : Trojan/W32.KillMBR.24576, Trojan/W32.KillMBR.24576.B, Trojan/W32.KillMBR.24576.C, apcRunCmd.exe (Trojan/W32.Agent.24576.EAN), OthDown.exe (Trojan/W32.Agent.24576.EAO), mb_join.gif.exe (Trojan/W32.Agent.24576.EAP)
(4) 알약(ALYac) : Trojan.KillDisk.MBR
현재까지는 감염의 원인 및 전파 방식에 대해 공식적으로 발표된 정보가 없으며, 공격자가 북한(North Korea)인지 후이즈(Whois) 해커 단체인지도 불명확한 것 같습니다.
이에 따라 국내 보안 업체에서는 사이버 공격에 활용된 악성 파일만을 진단하여 치료할 수 있는 전용 백신을 배포하고 있습니다.
- 안랩(AhnLab) 전용 백신 : 다운로드 링크
- nProtect 전용 백신(nProtect Anti-Virus for KillMBR v1) : 다운로드 링크
- 알약(ALYac) 전용 백신 : 다운로드 링크
- 하우리(Hauri) 전용 백신 : 다운로드 링크
전용 백신은 해외 보안 제품을 사용하시는 분들의 경우 이용하시는 것을 권장하며, 국내 보안 제품을 이용하시는 분들은 사용하시는 제품을 통해 정밀 검사를 진행하셔도 동일하게 진단 및 치료를 제공하고 있습니다.
