CIH 바이러스 피해 디스크 복구 대책

CIH 바이러스 피해 디스크 복구 대책

1999. 5.

김진원, 이현우/CERTCC-KR, 한국정보보호센터

cert@certcc.or.kr

※ 하우리 등 관련 업체의 지원을 받아 작성

1. 개요

지난 4월 26일 발생한 CIH 바이러스로 인하여 많은 사용자들의 하드디스크 데이터가 파괴되었다. 정식 명칭이 WIN32_CIH 바이러스인 CIH 바이러스는 매년 4월 26일에 활동하는 바이러스로 소스코드가 공개되어 여러종류의 변종이 존재하며, 다른 시간대에 파괴 동작을 수행하기도 한다. CIH 바이러스로 인한 피해는 컴퓨터의 플래시 메모리(Flash memory)의 BIOS 내용과 하드디스크의 데이터를 파괴하는 증상을 보인다. 그리고 감염 파일 내부에는 'CIH v1.2 TTIT'라는 문자열이 존재한다.

일반적으로 CIH 바이러스로 인한 하드디스크 손상은 복구할 수 없는 것으로 알려져 있으나 경우에 따라서 전체 또는 일부 데이터를 복구할 수 있다. 여기서는 이러한 손상된 하드디스크 및 플래시 바이오스를 복구하는 방법 및 복구 도구를 소개하고 관련 데이터 복구 업체들을 소개한다. 그리고 하드디스크 자료 복구는 일반적인 디스크 복구 관련 업무에도 활용 가능할 것이며 손상디스크 복구 프로그램 활용법은 추후 내용을 보완하여 발표할 것이다.

 

2. 복구 방법

경우에 따라서 플래시 메모리와 하드디스크가 모두 파괴되는 경우가 있으며, 플래시 메모리가 없는 경우 하드디스크만 파괴되는 경우도 있다.

가. 플래시 바이오스(BIOS) 복구

플래시 바이오스 칩을 제거할 수 있는 메인보드 모델일 경우 다음과 같은 방법으로 플래시 바이오스를 복구할 수 있다.

 1) 메인보드 모델이 동일한 정상적인 다른 PC에서 바이오스 업데이트 모듈을 다운 받거나, 또는 제조사 업체 홈페이지에서 바이오스 업데이트 모듈과 롬(ROM)에 쓰기할 수 있는(Write) 프로그램을 다운 받는다.

 2) 다른 정상적인 PC(플래시 바이오스 칩을 제거할 수 있는 메인보드 모델)에서 바이오스칩을 빼기 쉽도록 소켓에서 빼내어 다시 살짝 끼워 넣는다.

 3) PC의 전원을 키고, 부팅 디스켓으로 DOS 부팅을 한 다음, 정상적인 칩을 제거하고 손상된 칩을 다시 살짝 끼어 넣는다.

 4) 플래시 바이오스 업데이트 프로그램 실행하고 업데이트 모듈명을 입력하여 바이오스 정보를 업데이트 시킨다.

 5) 업데이트가 끝나면 전원을 끄고 새롭게 쓰기한 칩을 빼내어 원래 있던 보드에 끼워주면 된다.

 ※ 주의 : 전원이 켜진 상태에서 작업을 해야 하므로 주의가 필요하며, 플래시 메모리의 앞 뒤 방향에 주의한다.
 

나, 하드디스크 복구

 1) 하드디스크의 논리적 구성

 ○ 물리적 부트섹터 : 디스크의 전체 용량과 파티션 정보등을 저장

 ○ 논리적 부트섹터 : 파티션정보와 FAT 용량 정보를 저장

 ○ FAT 1 : 사용자 데이터의 저장위치 정보를 저장

 ○ FAT 2 : FAT 1 백업

 ○ Root 디렉토리 : root 디렉토리 파일 번지를 저장

 ○ 실 데이터 : 사용자가 만드는 모든 파일

 ※ FAT : File Allocation Table

 ※ 파티션을 사용하는 경우는 논리적 부트섹터부터 실데이터 까지 반복하여 구성됨

 

 2) CIH 바이러스의 하드디스크 피해 유형 및 복구방법

 ○ CIH 바이러스는 0번 섹터(sector)에서 2048섹터까지를 겹쳐쓰기 하여 부트섹터와 FAT가 손상되고 디스크 인식 불능, OS 부팅 불가능

 ※ 그러므로 실제 사용자 데이터 영역은 손상되지 않은 경우가 대부분

 ○ 복구 방법

  ① 시스템 디스켓을 만들고, 피해 디스크를 마스터(master)디스크로 만든다.

  ② NDD에 있는 diskedit S/W를 이용하여 작업한다.

  ※ NDD : Norton Disk Doctor

  ③ 도스(DOS)로 부팅하여, 불량 하드디스크를 물리적으로 PC에 인식시킨다.

  ④ 손상된 디스크의 FAT 시작위치와 끝위치를 찾는다.

  ※ FAT 정보 찾는 방법

 - Root 디렉토리 영역을 찾는다. ("autoexec.bat", "command.com", "msdos.sys" 등이 있는 곳을 찾는다)

  ※디스크의 파일명은 32byte로 이루어져 있다.

 - Root디렉토리의 시작부분에서 그곳의 주소를 적어놓는다.

 (실린더/사이드/섹터 번호)

 - Root디렉토리 바로앞 섹터에서 다른 곳과 분리될 수 있는 16진수를 적어놓는다.

 - 하드디스크의 앞부분에서부터 위에서 적어놓은 16 진수를 검색, 동일한 곳이 있으면 이곳이 루트데렉토리 앞이면 복구불가이고, 그곳이 아니라면 이곳이 FAT1의 마지막이라고 볼 수 있다. 찾은 부분의 주소 (실린더/사이드/섹터 번호)FAT1 끝부분이 되고 FAT2의 시작부분은 그 다음 섹터이다.

 - FAT2 부분의 영역을 FAT1 부분의 영역으로 복사한다.

 ⑤ 부트(boot) 섹터를 복구한다.

 - 망가진 디스크와 동일한 디스크를 구하여 부트섹터 이미지를 복사하여 복구한다.

 가) FAT32 형식이고 파티션을 하지 않은 경우 : 복구가능

 ○ 복구 : FAT2를 FAT1에 복사하고 부트섹터를 복구

 

 나) FAT32 형식이고 파티션을 한 경우 : 복구가능

 ○ 복구 :

 ① c:영역의 FAT2를 FAT1에 복사

 ② c:영역의 부트디렉토리를 만들며 두 번째 부트섹터를 검색

 ③ 파티션정보를 복구

 다) FAT16 형식이고 파티션을 하지 않은 경우 : 복구불가

 ○ 복구불가 : FAT정보가 남아있지 않아 복구할 수 없음

 라) FAT16 형식이고 파티션을 한 경우 : (D: 영역만 복구가능)

 ○ 복구 :

 ① c:에서 부트섹터를 만들고 D: 부분의 파티션 정보만 기록

 ② c:영역은 복구할 수 없고 D: 영역만 복구

 

3. 디스크 복구 도구

가. Tiramisu

Ontrack사의 제품으로 데모버전을 다운로드 받아 사용할 수 있으나, 데모버전은 단지 복구 가능한 부분에 대한 확인만 가능하고 복구하지는 않는다. 하지만 데이터의 복구 여부를 간단히 알 수 있으며, 정식번저을 구입하면 복구도 가능하다.

<URL> : http://www.ontrack.com
 

나. Revival

Revival(리바이벌)은 지워진 파일을 복구하는 프로그램으로 도스에서 지우거나 휴지통에서 날려버린 파일들도 복구가 가능하며 실제 파일의 데이터가 남아있는 경우에는 포맷되었거나 파일시스템이 완전히 손상된 경우에도 복구가 가능하다.

CIH바이러스가 작동이 되면 파티션테이블(Partition table), FAT, boot sector 및 root directory의 내용을 완전히 날려버므로, 실제 데이타 부분을 찾아서 파일들을 복구해야한다. Revival 프로그램을 사용하면 읽어버린 파일들을 복구할 수 있으며, 윈도우 전용 프로그램이므로 손상된 하드를 윈도우가 설치되어있는 다른 컴퓨터에 슬레이브로 붙여서 실행하여야 한다. 그리고 윈도우에서 하드가 인식이 되어야 복구가 가능하므로 CIH 바이러스에 손상된 하드디스크의 경우는 fdisk와 format을 사용해서 원래의 포맷으로 다시 포맷하여야 한다.

 1) 원래의 포맷이 FAT, FAT32 또는 NTFS인지를 잘 확인하고 다시 포맷해야 하고 파티션을 다시 잡을 때 원래의 크기와 똑같이 설정을 해야한다. Revival은 데이타 섹터의 내용을 검색하므로 저수준(low level format)을 하면 내용을 다시는 복구할 수 없으므로 조심해야 한다. 그리고 DOS나 윈도우에서 일반 포맷을 하면 실제 데이터 섹터의 내용은 지우지 않고 남아있게 되므로 걱정하지 않고 포맷을 해도 되며, CIH에 감염된 하드는 디스크 정보가 완전히 손상된 상태이므로 포맷을 해도 전혀 상관이 없다.

 2) Revival에서 포맷된 드라이브를 열면 없어진 디렉토리들을 검색하고 Searched Root Directory나 Total Directory를 선택하면 없어진 디렉토리들을 찾을 수 있다. 찾은 파일 및 디렉토리는 마우스나 CTRL+A로 선택한후 Save 명령을 사용해서 다른 드라이브에 저장할 수 있다.

※ 파일 조각이 있는 파일은 복구가 안되므로 100% 복구는 불가능 하며, 특히 파일의 크기가 2-3M 이상의 파일들은 조각이있는 경우가 많으므로 파일이 클수록 복구가 안될 확률이 높다.

※ Revsrvr 프로그램을 사용하면 TCP/IP 네트워크를 통해서 인터넷으로 원격의 컴퓨터에서 복구가 가능.

 ○ 연락처 및 참조 사이트

 <E-mail> : ship3@chollian.net

 <URL> : http://www.revival2000.com

 

4. 관련 복구 업체

 ○ 명정보기술

 <TEL> : 080-333-9119

 <URL> : http://www.myung.co.kr/

 <주소> : 서울시 강남구 역삼동 733-22번지 동훈빌딩 401호 (우편번호 : 135-080)
 

 ○ 하우리(주)

 <TEL> : 02-458-2235

 <URL> : http://www.hauri.co.kr

 <주소> : 서울시 광진구 구의동 243-4 한국소프트웨어지원센터 404호
 

 ○ 보명정보통신

 <TEL> : 053-815-0250

 <URL> : http://165.229.16.210/cih.htm

 <주소> : 경북 경산시 대동 214-1 영남대학교 생산기술연구원202B
 

 ○ C&C

 <TEL> : (02) 3465-0288

 <URL> : http://www.candc.co.kr/data.htm

 <주소> : 서울 서초구 서초동 1445-3 국제전자센터 8층 26~27호

 

5. 기타사항

가. 국내 백신 개발업체

 ○ 안철수컴퓨터바이러스연구소

 - 바이러스 진단, 치료용 백신 및 바이러스 캘린더 정보 공급

 <TEL> : 02-587-2141

 <URL> : http://www.ahnlab.com
 

 ○ 하우리(주)

 - 컴퓨터 바이러스 진단, 치료용 백신 프로그램 및 데이터 복구 지원

 <TEL> : 02-458-2235

 <URL> : http://www.hauri.co.kr
 

나. 바이러스 관련 사업자 현황

 ○ 에스원

 - 24시간 바이러스 감시 및 방역 체제를 갖추어 99년 하반기부터 서비스 시작 예정

 <TEL> : 02-3670-8858

 <URL> : http://www.s1.co.kr
 

 ○ 지오넷

 - 인터넷을 통해 데이터 백업을 대행해주는 사업체

 <TEL> : 02-3476-5800

 <URL> : http://www.zoi.net
 

 ○ (주)시큐어소프트

 - 인터넷/인트라넷 환경에서 전파되는 바이러스 피해를 막아주는 "바이러스월" 판매

 <TEL> : 02-564-4010

 <URL> : http://www.iss.co.kr
 

 ○ 트렌드코리아

 - 안티바이러스(antivirus) PC-Cillin 공급 및 네트워크 기반 방역 프로그램 개발

 <TEL> : 02-782-1784

 <URL> : http://www.antivirus.co.kr