본문 바로가기

벌새::Security

디스크 복원 기능을 가진 악성코드 유포 (2013.4.29)

최근 네이버 지식인을 중심으로 악성코드에 감염된 사용자가 악성 파일을 치료한 이후 시스템 재부팅을 하면 특정 시점으로 시스템이 자동 복원되어 재감염된 상태가 반복된다는 질문들을 볼 수 있습니다.

특히 해당 악성코드 감염자들의 공통적인 특징은 하드 디스크 드라이브 아이콘 모양이 평소와는 다르게 회전하는 화살표 모양이 표시되어 있다는 점입니다.

또한 감염된 환경에서는 커널(Kernel) 모드로 동작하는 프로그램이 실행될 경우 그림과 같은 메시지 창이 생성되어 드라이버 파일의 실행 여부를 묻는 창이 생성될 수 있습니다.

 

이와 같은 감염을 유발하는 악성코드에 대해서는 개인적으로 유포 경로 또는 샘플에 대해 확인된 정보는 없지만, 일부 구현 가능한 부분에 대해 정보를 공개해 드립니다.

해당 기능은 중국(China)에서 제작된 디스크 보호 및 복원 기능을 제공하는 소스가 공개된 DiskFilter 프로그램으로, 프로그램을 통해 시스템이 존재하는 파티션에 비밀번호를 입력하는 방식으로 복구 기능을 추가할 수 있습니다.

 

이를 통해 DiskFilter 프로그램으로 보호를 받는 시스템 환경에서는 사용자가 PC를 사용한 이후 시스템 재부팅을 진행하면 복구점을 지정한 시점으로 자동 복원이 이루어지도록 되어 있습니다.

 

위와 같은 기능을 악성코드 제작자가 악용하여 "DiskFilter + 추가적인 악성 프로그램" 조합으로 시스템을 감염하여 보안 제품을 통한 치료가 제대로 이루어지지 않을 경우, 시스템 재부팅 이후에는 감염된 초기 시점으로 자동 복구가 이루어질 수 있습니다.(※ 실제 감염된 시스템 환경은 DiskFilter 프로그램의 복구 기능 이외에 MBR 변조 및 추가 악성 기능의 복합적 형태로 감염되었을 수 있습니다.)

DiskFilter 프로그램의 경우 디스크 보호 기능을 실행하면 "C:\WINDOWS\system32\Drivers\diskflt.sys" 시스템 드라이버 파일(MD5 : 84eb0b2e1b7c1c7469ca4c26b4307288)을 생성하며, 부트(Boot) 영역에 루트킷(Rootkit) 방식의 서비스(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\diskflt)를 등록하는 것으로 확인되고 있습니다.

 

참고로 해당 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Redflt (VT : 4/46) 진단명으로 진단되고 있습니다.

생성된 드라이버 파일은 사용자 하드 디스크의 드라이버 파일(disk.sys / PartMgr.sys)과 함께 동작하여 일반적인 악성코드와는 다르게 감염된 환경에서는 수동으로 파일 및 레지스트리 관련 값 삭제를 통해서는 해결할 수 없을 것으로 보이므로 반드시 보안 제품을 통해 치료를 해야 합니다.

 

만약 보안 제품을 통한 치료로 문제 해결이 이루어지지 않는 경우에는 다른 파티션으로 나누어 사용하시는 사용자는 운영 체제가 설치되어 있지 않는 파티션 또는 외부 저장 매체에 중요 데이터를 백업한 후 포맷을 통해 문제를 해결하시기 바랍니다.