CN Cert, 异鬼II Bootkit 주의!

CN Cert는 최근 급속도로 유포되고 있는 异鬼II Bootkit 악성코드에 대해 경고를 하였습니다. 

异鬼II Bootkit 라고 명명된 이 악성코드는, 중국 내 다운로드 프로그램들을 통하여 유포되고 있으며, XP, Win7, Win10 등 주요 OS에서 모두 동작이 가능합니다. 异鬼II Bootkit 악성코드는 정상적인 디지털 인증서를 갖고 있습니다. 

해당 악성코드는 VBR을 수정하여 탐지를 어렵게 할 뿐만 아니라, 클라우드에서 기능 모듈을 내려받아 감염 PC에서 악성행위를 합니다. 

감염 확인 방법

1) 내컴퓨터 하위에 .wav 파일이 존재하는지 확인합니다.

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media

C:\Users\사용자명\AppData\Local\Microsoft\Media

2) C:\windows\system32\usbsapi.dll 파일이 존재하는지 확인합니다. 

3) 레지스트리에 다음 값이 있는지 확인합니다. 

{FC70EFDD-2741-495C-9A93-42408F6878D9}\un

4) 레지스트리에 다음 값이 있으면 이미 감염된 것을 의미합니다. 

HKEY_LOCAL_MACHINE\Software\Classes\CLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 값：1

현재 알약에서는 해당 악성코드에 대하여 Trojan.Bootkit.yigui 로 탐지중에 있습니다. 

출처 : 

http://www.cert.org.cn/publish/main/9/2017/20170729122626519351207/20170729122626519351207_.html