변조 전 MBR
마스터 부트 레코드(MBR : Master Boot Record)는 저장 매체의 첫 번째 섹터(0 Sector)에 512 Bytes 크기를 가지고 있으며, 운영 체제가 부팅시 해당 코드를 수행하여 사용자 PC의 부팅 가능한 파티션을 찾아 연결해 주는 역할을 합니다.
사이버 범죄자들이 MBR 영역의 변조를 시도하는 이유는 사용자가 변조 여부를 확인하기 어렵다는 점, 현재 보안 제품을 통한 치료가 어렵다는 점, 패치된 시스템 파일을 수정하여도 재감염된다는 점 등이 있는 것으로 알려져 있습니다.
참고로 현재까지 발견된 MBR 변조에 사용된 악성 파일 감염시 생성된 파일 유형은 아래와 같습니다.
- C:\Windows\lpk.dll
- C:\Windows\System32\drivers\FileEngine.sys
- C:\Windows\System32\DiskSystem.exe
- C:\Windows\system32\dnetcom.dll
- C:\Windows\System32\halc.dll
- C:\Windows\System32\imm32.dll :: 패치된 악성 파일
- C:\Windows\System32\ws2sock.dll
이로 인하여 현재 백신 프로그램에서 제대로 치료를 하지 못하고 있기에 전용 백신을 이용하여 치료하거나, Windows CD를 이용하여 복구하는 방법을 추천하고 있습니다.
이에 따라 안철수연구소(AhnLab)에서는 해당 MBR 변조와 관련된 악성 파일에 대한 전용 백신(V3 Halcbot Bootkit Removal Tool)을 공식적으로 제공하기 시작하였습니다.
해당 전용 백신은 위에 제시된 파일에 대한 진단시 보안 제품을 통한 치료가 이루어지지 않을 경우 전용 백신을 통해 치료를 하실 수 있습니다.
참고로 해당 전용백신은 진단과 복구시 운영 체제의 민감한 부분을 수정하므로, 중요한 작업을 수행하는 시스템 또는 24시간 동작하는 시스템에서는 사용을 자제해 주시기 바랍니다.
마지막으로 일반 사용자가 자신의 PC에 루트킷(Rootkit) 또는 MBR 변조가 이루어졌는지 여부는 GMER 도구를 이용하여 확인하는 방법이 있으므로 참고하시기 바랍니다.