이메일 바이러스 - 블루스크린 발생, 재부팅 장애

 요즘 재부팅에 장애를 일으키는 악성코드가 이슈이다.
 그 악성코드와 관련된것으론 보이지 않으나, 재부팅에 문제가 생기는 또다른 악성코드 이다.

 악성코드 제작자들의 의도인지 아닌지는 모르겠으나,
 파일의 권한 문제, 잘못된 레지스트리 정보, 악성코드 파일의 위치 문제 등
 시스템의 부팅이 원할하게 되지 않는 악성코드가 지속적으로 발생하는 것 같다.
 
 다음의 악성코드는 이메일로 전파되며, 링크를 클릭하면, patch.exe파일을 다운로드 하게 유도한다.
 

 실행 후 재부팅하면 블루스크린이 지속적으로 발생하여 시스템에 영향을 준다.
 안전모드 부팅 후 해당 파일과 레지스트리를 삭제하면 다시 원래대로 부팅은 가능하다.

 악성코드는 실행시 최초 미국의 특정 서버로 정보를 2번 전송하며, 해당 정보는 정확히 어떤 정보인지 아직 분석중이다.
 다른 DNS 쿼리를 요청할 것으로도 추정된다. 추가적인 서버접속이 이루어 지지 않을까....
 미국 특정 서버 :  dino-war1722.com

 

 레지스트리 정보 변경
 [ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit ] 
  "C:\WINDOWS\system32\userinit.exe,"
 [ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit ]
  "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,"

 파일 생성
 %system%\sdra64.exe - patch.exe와 동일파일
 폴더 생성
 %system32%lowsec\ -
                                  |- local.ds
                                  |- user.ds (0 bytes)
                            
 sdra64.exe 와 2개의 ds파일 및 lowsec 폴더는 탐색기로 탐색이 불가능하게 숨겨져 있다.
 후킹코드도 없고, 루트킷도 설치 하지 않으나, 숨겨져 있는 것으로 보아
 해당 파일 및 폴더들의 권한이 빠져있는 것으로 추정된다.
 

[ local.ds ]