Spam mailer1 [Rootkit Mailer] Rustock 변종 [관련정보] http://viruslab.tistory.com/824 사실 며칠 전에 고객(사)로 부터 Port 25번으로 다량의 트래픽이 발생하고 있다는 상황 접수가 있었습니다. 원격접속을 통해서 확인해 보니 Driver 폴더에 떡 하니 아래와 같은 놈이 몰래 숨어 있었으며, Rustock(NewRest) 변종이었습니다. 분석해 본 결과 RAR SFX로 압축된 install.exe 라는 Main Dropper 에 의해서 설치된 것을 알아낼 수 있었습니다. 해당 드라이버 파일은 랜덤한 이름으로 생성되고 있었으며, 이동/삭제/수정 작업이 정상적으로 이루어지지 못하게 되어 있기 때문에 일반인이나 Rootkit 처리 기술이 없는 경우 치료에 어려움이 존재할 수 있습니다. 드라이버 파일의 로딩을 막기 위하여 레.. 2009. 6. 26. 이전 1 다음