얼마전에 윈도우 포럼에 올라왔는데 별로 중요하게 생각하지 않고 넘어갔더니 오늘 파코즈에도 올라왔고 분위기를 보니 의외로 걸리신 분들이 많이 계신 것 같아서 포스팅합니다. 물론 뎁버그님 말씀대로 평소에 보안업데이트를 꾸준히 해주고 백신을 사용하시면 아마 걸릴 일은 없을 것입니다. 물론 저같은 경우 이렇게 되면 그냥 VHD 파일 교체해버리면 그만이지만 ^^;; 그리고 고스트나 트루이미지 사용하시는 분들 역시 그냥 복구해버리면 그만이겠죠. 그렇다 하더라도 예방할 수 있을 때 예방하시는게 좋겠습니다.
일단 이 악성코드에 걸렸을 경우 해결방법은 정상적인 시스템으로 부팅한 다음
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32
"MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터"
부분을 삭제해주시면 된다고 합니다. 일단 위 레지스트리 값을 삭제한 다음 다시 부팅하면 이번엔 부팅이 되는데 부팅후 V3나 알약같은 백신들로 치료해주면 된다고 합니다. 위 레지스트리는 자동으로 감염된 DLL 파일을 부팅시 로딩하도록 하는 레지스트리라고 하네요.
안철수 연구소 ASEC 대응팀에서는 정상적인 시스템에 하드를 연결해서 삭제하라고 나와있지만 (http://core.ahnlab.com/58) 집에 데스크탑이 1대밖에 없거나 노트북 쓰는 사람들에겐 현실적이지 못한 대응책이죠. 그러지 말고 저는 비스타나 윈도우 7 DVD로 부팅하거나 또는 F8 복구모드에서 명령 프롬프트를 띄우거나 또는 각종 PE로 부팅해서 작업하시는 것을 추천드립니다.
윈도우 7 DVD로 하는 방법을 예제로 들어보겠습니다.
우선 윈도우 7 DVD로 부팅한 다음 첫 화면에서 Shift + F10을 누릅니다. 그럼 명령 프롬프트가 뜹니다.
여기서 딱 3줄만 입력해주시면 되는데 이게 좀 길어서 어려울 수도 있겠습니다. 종이에 적어두시든지 디카로 찍어두시든지 이 부분만 프린트해서 보고 하시든지 ^^;;
Reg Load HKU\Temp C:\Windows\System32\Config\Software
Reg Delete "HKU\Temp\Microsoft\Windows NT\CurrentVersion\Drivers32" /v MIDI9 /f
Reg Unload HKU\Temp
여기서 주의하실 부분은 첫번째 줄에 있는 감염된 윈도우즈 경로밖에 없습니다. 보통은 C 드라이브에 윈도우즈가 설치되어 있겠지만 그게 PE로 부팅했을 때는 D 드라이브가 될 수도 있습니다. 윈도우 7의 경우 시스템 예약 파티션이 100mb 잡혀있다면 위 상황에서 윈도우즈는 D 드라이브로 인식됩니다. 이 점을 참고하여 첫번째 줄에 C 드라이브 부분만 확실하게 정해주세요. 나머지 부분은 똑같이 입력하시면 됩니다.
너무 어렵게 설명드린 것 같은데 이상하게 윈도우 7 DVD로 부팅했을 때 레지스트리 편집기를 띄워도 메뉴에선 하이브 로드가 안 되더군요. 그래서 어쩔 수 없이 커맨드로 설명드렸습니다. ㅠㅠ
이 방법이 너무 어려우시면 그냥 하드 떼서 다른 컴퓨터에 들고 가서 안철수 연구소 ASEC 대응팀에서 제시한 방법대로 하세요. ㅠㅠ (http://core.ahnlab.com/58)
(추가)
파코즈 댓글을 보니 좀 쉬운 방법도 있는 것 같습니다.
검은 바탕화면에서 Ctrl + Shift + Esc 누르시거나 또는 Ctrl + Alt + Delete 눌러서 작업관리자 띄우실 수 있으실텐데 거기서 Explorer.exe를 강제종료 시킨 다음 메뉴에서 파일 - 새 작업 에다가 다시 Explorer.exe 를 입력해서 실행시켜주시면 바탕화면 진입이 된다고 합니다. 그상태로 백신 설치하고 검사를 해보세요. 저는 감염되어보지 않아서 이렇게 설명하면 맞는건지는 잘 모르겠네요.
rtm 7600 버전 깔았는데 부팅시 마우스 커서만 움직이는 현상이 발생해서 이 악성코드인줄 알고 안랩에서 조치사항읽고 해보려고 했더니 midi9 이 레지에딧에 없더군요. 그래서 자세히 보니까 저는 바탕화면까지 뜨는데 마우스만 움직이더라구요. 결국 못고쳐서 윈7 설치만 해놓고 xp이용중 입니다.-_-;
답글삭제@볼피 - 2009/10/20 02:38
답글삭제아마 드라이버나 하드 관련 문제일겁니다. IDE 하드가 있다면 한번 제거해보시고 ^^;; 암튼 하드웨어적 or 드라이버 문제로 보입니다.
@snoopy - 2009/10/20 02:44
답글삭제윈 7이 IDE하드를 지원을 못하나요? 아직도 IDE하드를 사용하고있는사람 이기때문에 충격적이네요;; 이제 이 컴퓨터도 퇴출 될때가 된거 같군요. 답변 감사합니다 ㅠ
@볼피 - 2009/10/20 02:38
답글삭제아니 그런건 아닌데 경우에 따라서... IDE 때문에 그런 증상을 겪었다는 분이 예전에 계셨거든요... 아무튼 드라이버 로드랑 관련이 있지 않을까 싶습니다.
이번 악성코드는 Adobe PDF취약점을 통한 스트립트 실행으로 감염되는 코드인데...
답글삭제이 녀석이 정상적인 악성코드가 아니고 작성자가 의도적으로 그렇게 했는지...dll 파일 하나를 제대로 로딩하지 못해서 검은 바탕에 마우스 커서만 나타나는거죠
(다른 OS에서 정상적으로 로딩되는 테스트를 했을때엔 OS까지 정상진입합니다 ㅋㅋ)
외부에서 PDF 파일을 다운로드 할 때 다운로드 페이지를 백신으로 검사를 하고 다운받는다면 감염될 확률은 그다지 높지 않습니다
(PDF 자체를 통해 감염되는것은 아니고 PDF 파일로 가장한 PHP나 ASP 페이지의 스크립트를 통해 감염)
참고로 V3에서는 탐지및 치료가 완벽합니다 (국내 최초 ㅋㅋ)
혹시나 있을 이런문제 잘대응할께요^^
답글삭제@keith94 - 2009/10/20 09:27
답글삭제아... 외부에서 PDF 파일을 받을 때 조심하면 되겠네요. ^^
@DogTime - 2009/10/20 10:38
답글삭제PDF 파일 조심하시면 되겠네요 ^^
pdf 나쁜넘.
답글삭제역시 뭐든지간에 , 예방할수있을때 예방해주는게 가장 좋은거 같네요 .
답글삭제아아악~~~ 하루만 더 빨리 올려 주시지.. ㅠ.ㅠ
답글삭제어제 새벽(19일 새벽)에 이 테러를 당해가지고.. 결국 윈도 새로 깔았더랬드랬었드랬었는데.. ㅠ.ㅠ
아아.. 정말.. 죽갓네요.. 흑..
어도비 리더 프로그램만 그런건가요? 다른 리더에서는 그런 문제가 없는거 같은것 같은대요...
답글삭제전 SumatraPDF씁니다.
@고갫밝 - 2009/10/20 13:54
답글삭제당분간 PDF 다운받으실 때 조심하시길 ^^
@도시탈출 - 2009/10/20 14:14
답글삭제예방이 최선이죠. ^^
@제로미 - 2009/10/20 14:38
답글삭제헐... 죄송합니다. ㅠㅠ
@빈손이 - 2009/10/20 15:42
답글삭제리더 이야기가 아니고 PDF 파일 다운로드 하는 과정에서 문제가 생긴다고 적혀있네요.
스누피님 저도 이런 증상이 있어서 윈7부팅으로 시도했는데 2번째꺼
답글삭제Reg Delete "HKU\Temp\Microsoft\Windows NT\CurrentVersion\Drivers32" /v MIDI9 /f 는 오류라고 나오는데요;;;
그리고 1번째 3번째는 스누피님이 하신거처럼 돼요. 그런데 2번재가 안돼요...
왜 그런가요???
@신짱~ - 2009/10/20 18:01
답글삭제음... 이 악성코드에 걸리신게 아니겠죠 ^^;; 두번째 구문에서는 저 위치에 MIDI9라는 값이 있어야 삭제가 되거든요.
그런거면 다행이지만요, 부팅할때 검정화면에 마우스 커서만 5~7초 정도 있다가 파란화면으로 넘어가거든요.. 그래서 1번은 처리되고, 2번은 안되고, 3번은 처리되고... 머가 문제인가요?
답글삭제예전에는 그냥 파란화면에서 천천히 넘어갔는데...
@신짱~ - 2009/10/20 20:40
답글삭제그러니까... 저 악성코드랑은 상관이 없어보입니다. 다른 문제로 보입니다.
네^^ 지금은 단념하고 스누피님이 올리신글 보고있습니다. 좋은 자료가 많네요 새로 알게 되는것도 많고 좋은 정보 정말 감사해요^^
답글삭제@신짱~ - 2009/10/21 01:00
답글삭제별로 큰 문제는 아닌 것 같으니 신경쓰지 마세요 ^^
정말 감사합니다 snoopy님
답글삭제갑자기 컴퓨터가 먹통이 되어 며칠 고생했는 데 가르쳐 주신 방법대로 하여 컴퓨터가 살아났읍니다.
앞으로도 좋은 정보 부탁드립니다.
trackback from: 삼성전자 윈도7 OS 12만개 도입 검토
답글삭제삼성전자가 MS 윈도7 12만개를 도입하는 방안을 검토 중이다. 또 LG CNS, 한국방송공사(KBS) 등도 윈도7을 적게는 1600여개에서 많게는 6000개까지 도입하는 계획을 추진 중이다. 15일 관련업계에 따르면, 삼성전자는 지난 7월부터 2개월 동안 컴퓨터사업부를 상대로 윈도7에 대한 애플리케이션 호환성 테스트를 실시한 결과 도입 가능한 것으로 판단했다. 이에 따라 현재는 전사 범위로 확대해 호환성 테스트를 실시하고 있다. 이 테스트는 이달..
@djinni - 2009/10/21 07:41
답글삭제축하드려요 ^^
겨우 로그인했다 ㅠㅠ 원래 구글사용자가 아니어서요..컴퓨터가 시스템 오류가 속도가 너무 느려지고 시스템복구도 안되었는데요..강제종료를 해서 그런지 바이러스 때문에 그런지 위에서 증상이 똑같이 발생하는데요..비스타인데요 부팅할때 명령 프롬프트를 띄우는 방법을 모르겠어요ㅠShift+F10누르면 복구모드로 들어가는데 포맷을 하더라도 하기전에 컴퓨터 안에 중요한 문서파일을 있어서 윈도우로 들어가고 싶은데 프롬프트로 들어가는 법을 모르겠어요ㅠ 도와주세요ㅠㅠ
답글삭제@가퓔드 - 2009/10/21 22:36
답글삭제제가 마지막에 소개해드린 방법 있죠? Explorer 강제종료 시키는 방법. 그걸로 시도해보세요.
비스타의 경우 복구모드로 들어가서 자동복구 시디지 않고 직접 명령 프롬프트 화면까지 가야합니다. 이 글 하단부에 나오는 비스타 사진을 참조하세요.
http://snoopybox.co.kr/1000
옛날에도 5-7년 전인가 이 바이러스가 있었던 걸로 기억합니다. 그래서 작업관리자가서 로그오프해주고 다시 로그인한 기억이 남습니다.
답글삭제@독도 - 2009/10/24 09:28
답글삭제오래전 악성코드의 재탕인건가요 ㅎㅎ
비밀 댓글 입니다.
답글삭제@Anonymous - 2009/11/02 14:43
답글삭제이 증상은 메인보드랑 윈도우 7 호환문제로 보시면 되는데 하드 관련 설정을 CMOS에서 변경해보세요. AHCI와 IDE 사이 변경을...
그리고 제가 지금껏 질문을 받은 결과 거의 대부분 이 증상은 AMD 보드에서 일어나고 있습니다. 따라서 동일한 보드 사용하시는 분들을 찾아서 한번 문의해보시거나 아니면 메인보드 유통사에 전화로 문의해보시는게 좋을 것 같습니다.
Ctrl+Alt+Delete를 통해서 작업관리자를 띄우는것도 안되네요..; C드라이브만 포맷하면 치료는 되려나..
답글삭제