정부와 보안업계에 따르면 이번 디도스 공격을 일으킨 악성코드가 명령서버로부터 두가지 새로운 명령을 다운로드 받도록 되어 있도록 설계된 것으로 7일 전해졌다.
새롭게 추가된 것은 감염된 좀비PC가 전용백신을 다운로드 받지 못하도록 보호나라(www.boho.or.kr) 등 전용백신 사이트의 접속을 방해하는 기능과 하드디스크를 즉시 파괴하는 기능이다.
이를 막기 위해 꺼져있는 PC를 다시 켤 때는 반드시 안전모드로 부팅해 디도스 전용백신을 다운로드받아 검사를 받은 후 PC를 사용해야 한다.
정부는 한국인터넷진흥원(KISA)을 통해 악성코드에 감염된 좀비PC가 전용백신 사이트에 접속하지 못하게 될 경우에는 우회해서 접속할 수 있도록 조치했다.
또 방송통신위원회는 악성코드에 감염돼 하드디스크가 즉시 파괴되는 피해를 최소화하기 위해 7일 새벽 국가사이버안전센터(NCSC)로부터 악성코드 유포와 명령 사이트로 추정되는 584개 IP를 확보, KISA와 ISP를 통해 IP 729개(누적)를 긴급 차단했다.
정부와 보안업체는 컴퓨터 사용자는 악성코드에 감염되면 백신치료도 쉽지 않고 하드디스크가 즉시 파괴될 수 있기 때문에 악성코드에 감염되지 않도록 주의를 요구하고 있다.
이번 하드디스크 파괴 증상은 명령서버로부터 명령을 받고 일정 기간이 지난 후에 동작했던 2009년 7.7 디도스때와는 달리, 명령을 받는 즉시 동작하도록 설정 돼 있다.
하드디스크 파괴 명령이 하달되면 먼저 A에서 Z까지 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다. 그리고 모든 고정 드라이브를 검색해 시작부터 일정 크기만큼을 0으로 채워 하드디스크를 손상시켜 컴퓨터를 정지시킨다.
특히 긴급 전용백신으로 치료가 완료됐더라도 변종 악성코드에 의한 공격으로 재감염될 수 있어 각별한 주의가 필요하다. 또 백신 제품을 최신 엔진으로 업데이트하고 실시간 감시를 동작시켜 재차 감염되는 것을 방지해야 한다.
<긴급 PC 안전 부팅 수칙>
1) 인터넷 연결선(LAN선)을 뽑는다.
2) PC 전원을 켠 후 F8을 눌러 (네트워크 가능한)안전모드를 선택해 부팅한다.
3) 인터넷을 재연결한 후 보호나라(www.bohonara.or.kr) 또는 안철수연구소(www.ahnlab.com)에 접속해 디도스 전용백신 다운로드 한다.
4) 디도스 전용백신으로 악성코드 치료후 PC 재부팅한다.