태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'dep'에 해당되는 글 1건

  1. 2009.11.16 ndis.sys 변조 기법의 악성코드 대응
감염대처법2009.11.16 09:38


일명 Cutwail 이라는 이름으로 사용되는 악성코드 중 일부가 ndis.sys 시스템 파일을 변조하여 스팸메일러(SMTP/25)로 작동하는 형태가 존재한다.

ndis.sys 는 Network Driver Interface Specification 라는 커널 네트워크 라이브러리 파일로, 네트워크 드라이버 개발에 공통된 인터페이스 제공을 위한 파일이며, 만약 로딩되지 않을 경우 인터넷이 작동하지 않는다.

악성코드 스스로 보호 기능과 함께 DEP 기능이 함께 작동하기 때문에 Anti-Virus 제품으로 쉽게 치료하기 어려운 형태이다.

수동으로 조치하는 방법이다.

1. 변조되지 않은 정상 ndis.sys 파일을 감염된 시스템에 준비해 둔다.
2. ndis.sys 드라이버 로딩을 일시 중단한다.
3. 데이터 실행 방지를 작동한다. -> http://support.microsoft.com/kb/875352

[Win XP]
기존 :: /noexecute=optin 또는 /noexecute
( /noexecute 가 없는 경우 추가해 준다. )
변경 :: /noexecute=AlwaysOff

[Win 7]
bcdedit.exe /set {current} nx AlwaysOff

4. 재부팅 후 정상 ndis.sys 파일로 교체한다.
5. ndis.sys 드라이버의 로딩을 재작동 시킨다.
6. 재부팅한다.

사용자 삽입 이미지





Posted by viruslab
TAG

댓글을 달아 주세요