태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Spam mailer'에 해당되는 글 1건

  1. 2009.06.26 [Rootkit Mailer] Rustock 변종 (2)
신종악성코드정보2009.06.26 20:55


[관련정보]
http://viruslab.tistory.com/824

사실 며칠 전에 고객(사)로 부터 Port 25번으로 다량의 트래픽이 발생하고 있다는 상황 접수가 있었습니다.

원격접속을 통해서 확인해 보니 Driver 폴더에 떡 하니 아래와 같은 놈이 몰래 숨어 있었으며, Rustock(NewRest) 변종이었습니다.

사용자 삽입 이미지

분석해 본 결과 RAR SFX로 압축된 install.exe 라는 Main Dropper 에 의해서 설치된 것을 알아낼 수 있었습니다.

해당 드라이버 파일은 랜덤한 이름으로 생성되고 있었으며, 이동/삭제/수정 작업이 정상적으로 이루어지지 못하게 되어 있기 때문에 일반인이나 Rootkit 처리 기술이 없는 경우 치료에 어려움이 존재할 수 있습니다.

사용자 삽입 이미지

드라이버 파일의 로딩을 막기 위하여 레지스트리를 접근하여도 정상적으로 삭제할 수 없습니다.

사용자 삽입 이미지

사용자 삽입 이미지

이 녀석은 처음 감염을 할 때 beep.sys 파일을 후킹하기 위해서 beep.sys.new 파일을 dllcache 에 생성하고, dllcache 에 있는 beep.sys 파일을 후킹하는 과정을 거칩니다.

사용자 삽입 이미지

후킹되어 있는 9a6f2db2.sys 파일을 Disabled 시키고 재부팅하거나, 안전모드에서 해당 드라이버 파일을 제거하면 됩니다.

사용자 삽입 이미지

다음으로 안랩에서 제작한 전용백신으로 치료를 시도해 보았습니다.

http://kr.ahnlab.com/dwVaccineView.ahn?num=87&cPage=1

아쉽게도 일부 PC 에서는 충돌현상으로 인하여 정상적으로 실행되지 않는 경우도 있었지만, 또 다른 환경에서는 아래와 같이 정상적으로 작동되었습니다.


감염된 드라이버 파일을 정확히 탐지했으며, 전체치료 버튼을 누르자 재부팅 요구 창이 나타났습니다.

재부팅 후 살펴 본 결과 정상적으로 제거가 완료되었습니다. 짝짝짝짝 참 잘했어요.

Posted by viruslab