┓┫△┃┓┃

1. 치명적인 위협이 되는 바이러스

MBR 파괴 바이러스 최근 부팅 후 MBR영역을 파괴하여 사용자의 시스템을 파괴하는 MBR 바이러스가 나타나 PC를 위협하고 있다. 해외에서 발견된 이 바이러스에 감염될 경우 사용자가 PC를 부팅하는 시점까지 잠복하고 있다가, 부팅 후에 시스템 파일의 파괴 증상이 나타난다. 이 바이러스는 아직 국내에서는 피해사례가 발견되지 않았지만, 감염되게 되면 시스템에 치명적인 위협을 가하여 시스템의 복구가 불가능하므로 OS를 새로 설치해야 하므로 바이로봇에서는 엔진을 빠르게 업데이트를 하게 되었다.

2. MBR이란?

Master Boot Record의 약자로 기억장치의 첫 섹터인 512byte의 시동 섹터이며, “Partition Sector” 또는 “Master Partition Table”이라고도 불린다. 이 MBR이 중요한 이유는 하드디스크가 포맷될 때에 나누어지는 파티션들의 위치에 대한 정보를 가지고 있기 때문이며, 운영체제가 저장되어 있는 파티션의 부트 섹터 레코드를 읽을 수 있는 프로그램을 포함하고 있는데, 부트 섹터 레코드에는 다시 운영체제의 나머지 부분들을 메모리에 적재시키는 프로그램을 담고 있다.

[그림 1] 실제 HDD의 MBR 영역

3. 악성코드 Worm.Win32.S.Zimuse

195072 현재 해외에서 발견되어 긴급하게 업데이트 된 Worm.Win32.S.Zimuse.195072는 마치 암호가 걸려있는 압축된 파일인 것처럼 사용자를 속이고 윈도우 서비스로 등록이 되어있다가 특정 일자가 되면 시스템의 MBR 영역을 파괴한다. 이 악성코드는 압축과 관련된 아이콘을 가지고 있으며, 또한 실행이 되게 되면 아래과 같은 화면이 나타나게 되어 사용자는 악성코드가 실행이 된 것을 쉽게 인지하기가 힘들다.

[그림 2] 악성코드가 가진 아이콘

[그림 3] 실제 실행 화면

하지만 실제로는 또 다른 악성코드들을 드랍하며, 그 악성코드들을 시스템 부팅시에 실행 될 수 있도록 시스템 서비스로 등록을 하게 된다.

악성코드 Msey.sys(Worm.Win32.S.Zimuse.18188)
Mstart.sys(Worm.Win32.S.Zimuse.13100)

이 두 악성코드들은 시스템의 Driver들이 모여 있는 폴더에 드랍이 되며 시스템이 드라이버들을 로딩할 때에 같이 로드가 되게 된다.

[그림 4] 시스템 드라이버 폴더에 두개의 악성코드가 드랍이 된다.

또한 악성코드 mseus.exe(Worm.Win32.S.Zimuse.69632.A) 는 실제로 하드 디스크의 MBR 영역을 파괴하는 악성코드로 역시 시스템 서비스로 등록이 되어 부팅시에 시스템에 로드가 된다.

[그림 5] 레지스트리 값을 이용하는 코드


[그림 6] 지정된 시각이 지나면 MBR을 파괴하게 되는 코드


[그림 7] 감염된 후 20일 이후부터 일에 MBR영역이 파괴되게 된다.


[그림 8] MBR 영역이 0으로 덮어 씌워졌다.


[그림 9] MBR 영역이 파괴되면 부팅이 되지 않는다.

4. 마치며

지금까지 MBR을 파괴하는 악성코드의 한가지만을 살펴 보았다. 하지만 MBR을 파괴하는 악성코드는 더 많은 종류가 있으며, 파괴하는 목적도 방법도 다양하다. 이러한 치명적인 악성코드부터 단순히 메모리에만 올라와 있는 마치 테스트 용도로만 쓰이는 악성코드까지 무수한 종류의 악성코드가 있기 때문에 ‘아 난 이런 내 시스템에 커다란 영향을 미치는 악성코드를 조심해야지’하고 예방하기는 매우 힘들다. 백신의 사용도 물론 필요하겠지만 무엇보다 중요한 것은 사용자의 관심과 주의일 것이다.

(주)하우리 대응센터 바이러스팀 연구원 김태근