검은 화면에 마우스 커서만 나타나는 경우

  최근(10월 15일 현재) 발견된 악성코드 중 특이한 증상이 발견된 악성코드가 있어 조치 가이드를 작성합니다. 해당 악성코드가 감염되면 부팅 시 검은 화면에 마우스만 뜨며, 더 이상 정상모드 또는 안전모드로 부팅이 진행되지 않는 증상이 발생합니다. 해당 악성코드는 내부 모니터링 시스템을 통해 확인한 결과 국내 웹사이트를 통해 유포된 것으로 보입니다.

  단, 부팅 불가한 원인은 여러 원인이 있으므로 모든 경우를 이번 악성코드 감염 이슈와 연관지을 수 없음을 알려드립니다.

2. 증상 확인

  해당 악성코드에 감염이 되면 아래와 같이 레지스트리에 키값을 작성합니다.

  HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32

  "MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터"

  위에 작성한 키값으로 인해 부팅 시 악성코드에 의해 생성된 DLL파일을 로드하게 되는데 이 때 해당 파일이 정상적으로 로딩되지 않아서 발생하는 문제입니다. 따라서 해당 파일을 삭제하거나 위 레지스트리 값을 삭제할 경우에 정상 부팅이 가능합니다.

3. 조치 및 예방

  현재 안철수연구소에서는 해당 파일을 수집해서 V3 제품에 아래와 같은 진단명으로 반영되었습니다.

  상기 악성코드 자체의 전파 기능은 없으며 전파경로는 현재 정확하게 파악하기 힘듭니다.

4. 수동 조치 방법

  이미 감염이 되어 부팅이 안되는 시스템은 아래 안내해 드리는 방법대로 조치하여 주시기 바랍니다.

  1) 먼저 문제가 생기는 시스템의 하드디스크를 다른 정상 PC 시스템의 Slave로 붙입니다.

      그리고 V3 최신엔진으로 업데이트한 후에 Slave로 붙인 디스크를

      수동 검사를 통해서 해당 악성코드를 진단 및 삭제하시기 바랍니다.

  2) 또는 아래 방법대로 수동으로 조치를 하시기 바랍니다.

      https://core.ahnlab.com/58 4번 내용을 확인합니다.

5. 예방 방법

  1) V3 제품을 항상 최신 엔진으로 유지 합니다.

  2) 사이트가드를 통해 웹페이지에서 유포되는 악성코드를 미연에 차단 합니다.

  3) 윈도우 보안 패치를 항상 확인하고 설치 합니다. 아래 업데이트 목록은 해당 악성코드가 삽입된 웹페이지에서

      이용한 취약점 리스트 입니다.

※ 내용 출처 : ASEC 대응팀 블로그(☞ 바로가기)