감염 후 파일 삭제, 사용자 PC 재부팅 시 하드디스크 파괴 등
안랩에 따르면 특히 PC를 켜는데 필요한 정보들이 저장된 영역인 MBR에 하드디스크를 파괴하는 코드가 삽입돼 있어 백신 제품의 치료를 어렵게 한다.
MBR은 부팅에 필요한 정보가 저장된 영역으로, PC에 전원이 들어오면 메모리가 MBR에 있는 정보를 읽어서 운영체제(OS)를 작동시킨다.
또한 파일 삭제나 하드디스크 파괴를 수행하는 과정 중에 시스템 크래쉬(System Crash) 등 여러가지 이유로 작동오류로 블루스크린이 나타나거나 재부팅하더라도 파괴 기능이 지속된다.
특히 안랩은 이번 공격에 사용된 악성코드는 지난 3.20 사이버 테러와는 차이를 보인다고 밝혔다.
안랩 관계자는 "감염 후 파일을 삭제하고, 하드디스크 파괴 기능이 MBR에 삽입돼 있으며 데이터 영역 삭제 시에 특정 문자열(PRINCPES 같은)이 아닌 랜덤 문자열로 덮어쓰기를 시도하고 감염 즉시 데이터 영역을 삭제하지 않고 재부팅시 삭제하는 점 등은 3.20 사이버 테러에는 없던 증상"이라며 "이밖에 패스워드 변경 및 바탕화면 변경도 이전에는 없던 점"이라고 말했다.
안랩은 "현재까지 분석결과 악성코드가 기업, 기관 등 서버 관리자를 타킷으로 한 것으로 보이나 내부 테스트결과 개인 PC에서도 작동한다"며 주의를 당부했다.
최승호 기자
midas@itdaily.kr