주요 방송사와 은행들의 전산업무를 마비시킨 악성공격은 PC를 부팅을 막고, 임의로 내부파일을 삭제하는 기능을 수행한다. 이를 치료하기 위해서는 한국인터넷진흥원(KISA), 잉카인터넷 등이 배포한 무료 백신을 이용해 1차적인 치료를 수행할 수 있다.
KISA 및 국내 보안회사들은 전산망 마비 관련 악성코드를 탐지하고 치료할 수 있는 전용백신을 보급하고 있다고 21일 밝혔다.
이 악성코드는 컴퓨터 부팅 불가 및 디스크 파괴 등을 일으키며, 2013년 3월 20일 14시에 동작하도록 예약된 코드가 존재하는 것으로 확인됐다.
KISA는 추가적인 피해를 예방하기 위해 악성코드 감염이 의심되는 경우 전용백신을 다운받아 점검해 볼 것을 당부했다.
전용백신은 이미 악성코드에 감염돼 디스크가 손상된 경우에는 복구가 불가능하며, PC를 부팅하기 전에 PC시간을 20일 14시 이전으로 설정해 부팅한 뒤 전용백신을 다운받아 검사하는 것이 중요하다고 당부했다.
부팅 전, PC 시간 설정 및 전용백신 다운로드 방법 등은 아래와 같다.
1. PC 시간 변경
컴퓨터 부팅 후, CMOS 설정에 들어가서(F2키 또는 DEL키 입력) 일시를 임시적으로 2013년 3월 20일 14시 이전으로 변경한다.
2. 전용백신 다운받기
KISA 보호나라(www.boho.or.kr) 사이트에서 “다운로드-맞춤형 전용백신” 메뉴에서, 152번 Trojan.Win32.KillMBR.B 치료용 전용백신 다운로드 아이콘을 클릭 및 실행한다.
(바로가기:http://www.boho.or.kr/kor/download/download_03_1.jsp)
3. 전용백신으로 검사
다운로드 받은 전용백신을 실행하여, 해당 악성코드 검사 및 치료를 실시한다.
잉카인터넷은 하드디스크(HDD) 기능을 파괴하는 악성파일을 발견하고 이를 차단할 수 있는 '엔프로텍트 MBR 가드'를 무료로 배포한다고 밝혔다.
관련기사
- [전산망 마비]악성코드 특정시간 동작…“PC시간 돌려야”2013.03.21
- [전산망 마비]MBC 본사PC 50% 이상 감염2013.03.21
- [전산망 마비]방송3사 복구 완료, 업무 정상화2013.03.21
- [전산망 마비]정부 “중국 IP가 악성코드 생성”2013.03.21
이 백신프로그램은 ▲HDD의 마스터부트레코드(MBR) 영역 위.변조 원천차단 ▲MBR 영역을 관장하는 Disk.sys Driver 필터링을 통한 Disk I/O 모니터링 ▲각종 DDoS 변조 파일 및 악성파일에 대한 전용백신 및 실시간 모니터링 기능을 포함하고 있으며 홈페이지(http://www.nprotect.com)에서 다운 받을 수 있다.
다만 두 가지 모두 복구기능은 없는 것으로 나타났다. 보안전문가들은 이 공격의 경우 해커가 아예 복구를 못하도록 신경 써서 시스템을 파괴하는데 주력했다고 설명했다. 부팅을 아예 못하게 하는 것에 더해 시스템 파일을 삭제하는 수법들이 복구를 거의 불가능하게 만들었다는 것이다.