[관련정보]
http://viruslab.tistory.com/824

사실 며칠 전에 고객(사)로 부터 Port 25번으로 다량의 트래픽이 발생하고 있다는 상황 접수가 있었습니다.

분석해 본 결과 RAR SFX로 압축된 install.exe 라는 Main Dropper 에 의해서 설치된 것을 알아낼 수 있었습니다.

해당 드라이버 파일은 랜덤한 이름으로 생성되고 있었으며, 이동/삭제/수정 작업이 정상적으로 이루어지지 못하게 되어 있기 때문에 일반인이나 Rootkit 처리 기술이 없는 경우 치료에 어려움이 존재할 수 있습니다.


드라이버 파일의 로딩을 막기 위하여 레지스트리를 접근하여도 정상적으로 삭제할 수 없습니다.

이 녀석은 처음 감염을 할 때 beep.sys 파일을 후킹하기 위해서 beep.sys.new 파일을 dllcache 에 생성하고, dllcache 에 있는 beep.sys 파일을 후킹하는 과정을 거칩니다.


후킹되어 있는 9a6f2db2.sys 파일을 Disabled 시키고 재부팅하거나, 안전모드에서 해당 드라이버 파일을 제거하면 됩니다.


다음으로 안랩에서 제작한 전용백신으로 치료를 시도해 보았습니다.

http://kr.ahnlab.com/dwVaccineView.ahn?num=87&cPage=1

아쉽게도 일부 PC 에서는 충돌현상으로 인하여 정상적으로 실행되지 않는 경우도 있었지만, 또 다른 환경에서는 아래와 같이 정상적으로 작동되었습니다.


감염된 드라이버 파일을 정확히 탐지했으며, 전체치료 버튼을 누르자 재부팅 요구 창이 나타났습니다.

재부팅 후 살펴 본 결과 정상적으로 제거가 완료되었습니다. 짝짝짝짝 참 잘했어요.