[관련정보]
http://viruslab.tistory.com/824
사실 며칠 전에 고객(사)로 부터 Port 25번으로 다량의 트래픽이 발생하고 있다는 상황 접수가 있었습니다.
원격접속을 통해서 확인해 보니 Driver 폴더에 떡 하니 아래와 같은 놈이 몰래 숨어 있었으며, Rustock(NewRest) 변종이었습니다.
분석해 본 결과 RAR SFX로 압축된 install.exe 라는 Main Dropper 에 의해서 설치된 것을 알아낼 수 있었습니다.
해당 드라이버 파일은 랜덤한 이름으로 생성되고 있었으며, 이동/삭제/수정 작업이 정상적으로 이루어지지 못하게 되어 있기 때문에 일반인이나 Rootkit 처리 기술이 없는 경우 치료에 어려움이 존재할 수 있습니다.
드라이버 파일의 로딩을 막기 위하여 레지스트리를 접근하여도 정상적으로 삭제할 수 없습니다.
이 녀석은 처음 감염을 할 때 beep.sys 파일을 후킹하기 위해서 beep.sys.new 파일을 dllcache 에 생성하고, dllcache 에 있는 beep.sys 파일을 후킹하는 과정을 거칩니다.
후킹되어 있는 9a6f2db2.sys 파일을 Disabled 시키고 재부팅하거나, 안전모드에서 해당 드라이버 파일을 제거하면 됩니다.
다음으로 안랩에서 제작한 전용백신으로 치료를 시도해 보았습니다.
http://kr.ahnlab.com/dwVaccineView.ahn?num=87&cPage=1
아쉽게도 일부 PC 에서는 충돌현상으로 인하여 정상적으로 실행되지 않는 경우도 있었지만, 또 다른 환경에서는 아래와 같이 정상적으로 작동되었습니다.
감염된 드라이버 파일을 정확히 탐지했으며, 전체치료 버튼을 누르자 재부팅 요구 창이 나타났습니다.
재부팅 후 살펴 본 결과 정상적으로 제거가 완료되었습니다. 짝짝짝짝 참 잘했어요.
파일명을 보면 딱 수상해 보이는데, 역시 삭제가 어렵군요.
답글
경험을 못해본 경우 매우 당황해 할 수 있지만..기법 자체를 이해하고 있으면 매우 간단하게 처리할 수도 있는 형태라 할 수 있겠습니다.^^