안녕하십니까?
이스트소프트 알약 긴급대응팀입니다.

윈도우 정상 부팅을 방해하는 V.TRJ.Daonol 시리즈 변종이 발생하여 사용자의 주의가 필요합니다. 현재 해당 악성코드에 감염된 PC의 경우 정상적인 윈도우 부팅이 이뤄지지 않은 채 검은 바탕화면과 마우스커서만 나타난채 부팅이 멈춰버리는 현상이 발생하게 되며, 안전모드로도 부팅을 시도해도 부팅이 완료되지 않습니다.

현재까지도 계속적으로 해당 악성코드의 변종이 발견되고 있는 상황이기 때문에 신뢰할 수 없는 웹사이트의 방문(주로 해외 사이트)을 자제하여 주시기 바랍니다. 알약에서는 현재 해당 악성코드를 진단하고 제거하고 있으며 계속적으로 추가되는 해당 악성코드의 변종을 발견하는 대로 긴급 업데이트를 실시하고 있으니, 항상 DB를 최신버전으로 유지해주시고 실시간 감시 기능을 활성화 시켜두셔야 합니다.

[감염 증상]

1) 기존 파일에서 상위 폴더에 랜덤파일.(dat, bak, tmp, old) 확장자의 파일을 생성합니다.
2) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32 "MIDI9 = 랜덤 값"에 DLL 파일을 로드하도록 레지스트리를 추가합니다.
3) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\Windows에 AppInit_DLLs="winmm.dll"와 LoadAppInit_DLLs = 0x1을 생성합니다.
4) 이미 감염된 PC에서는 윈도우 부팅시 검은 화면에 마우스 커서만 나타나고 이후의 부팅 과정이 완료되지 않습니다.

[제거 방법]

현재 알약에서는 전용백신을 업데이트 하였습니다.
전용백신으로 치료 및 제거가 가능합니다.

[전용백신 다운로드 - 7월 6일 릴리즈 버전]

알약은 DB를 항상 최신버전으로 유지해 주시고, 실시간 감시 기능을 활성화 시켜주시기 바랍니다.

[알약 공개용 다운로드]

[복구 방법]

1) 감염된 PC의 하드디스크를 정상적인 PC에 Slave로 장착합니다.
2) 레지스트리 편집기에서 "하이브 로드(L)"를 선택해 Windows\System32\config폴더에 있는 software파일을 선택합니다.
3) 하이브 로드창이 떴을때, 키 이름을 넣는 곳에 아무 숫자나 영문등을 입력합니다.
4) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32에서 "MIDI9 = 랜덤값"을 삭제한 후 재부팅합니다.
5) 알약을 최신버전으로 업데이트한 후, 수동검사를 통해 감염 하드디스크에 있는 해당 악성코드를 제거합니다.

[예방 방법]

1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.

** 알약 긴급대응팀에서는 해당 악성코드(변종 포함)을 탐지하고 치료할 수 있는 전용백신을 제작하여 무료로 제공하고 있습니다.