좀비 PC 하드디스크가 10일 0시를 기해 파괴되고 있는 것은 A~Z 드라이브 물리적 첫 시작 위치에 'Memory of the Independence Day(독립기념일 기억)'라는 문자열을 덮어쓰기 위해 치명적인 손상을 일으키는 것이 원인인 것으로 드러났다.
한 전문 블로거에 따르면 이는 초기 악성코드 샘플들이 미국의 독립기념일인 7월 4일부터 보고된 것과 일치되는 부분이기도 하다고 전했다.
이 악성코드에 감염되면 시스템의 MBR(Master Boot Recorder)과 파티션 정보가 파괴돼 정상적인 부팅이 되지 않고 문서파일(doc, xls, ppt, pdf 등)을 무력화시켜 PC에 저장된 중요한 데이터를 잃게 된다.
하드디스크를 손상시키는 악성코드(Win-Trojan/Destroyer.37264)는 2차 공격 시점인 8일에 추가 발견됐으며 1차 감염된 PC가 특정 사이트에서 다운로드한 것으로 보이며 10일 오전 9시 KISA(한국정보보호진흥원) 집계로 30여 대가 신고됐다.
하드 손상 증상이 일어나는 환경은 윈도 비스타, 닷넷 프레임워크(.NET Framework)가 설치된 윈도 2000/XP/2003으로 msvcr90.dll 파일이 존재하는 경우에 해당한다. msvcr90.dll 파일이 존재하는지는 '탐색기'를 열어 '검색' 기능을 이용해 확인할 수 있다.
이에 안철수연구소는 DDoS 공격에 악용된 좀비 PC 하드디스크 파괴에 대한 예방법을 안내하는 한편, 하드 손상을 방지할 수 있는 전용백신을 개발해 개인은 물론 기업ㆍ기관에도 무료로 제공 중이다.
악성코드 감염이 의심되는 경우는 ▲PC를 켜자마자 F8번 키를 계속 눌러 ‘안전모드’ 부팅 ▲PC의 날짜를 7월10일 이전으로 설정 후 재부팅 ▲V3 최신 엔진이나 전용백신으로 진단ㆍ치료의 과정을 거치면 된다.
안철수연구소 조시행 상무는 “이번 사태는 PC 사용자가 V3 등 백신으로 미리 치료만 했어도 대규모 피해는 막을 수 있었다. 이를 계기로 개인 및 기업 PC의 보안 관리 수준이 높아지기를 바란다”라고 당부했다.
한편 정해진 시각에 특정 사이트를 공격하던 좀비 PC 상당수의 하드가 손상됨으로써 추가 DDoS 공격의 가능성은 낮은 것으로 추정된다.